Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-1115
Krytyczne

Zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) w funkcji społecznościowej projektu parisneo/lollms, dotyczącej wersji przed 2.2.0. Problem występuje w funkcji `create_post`, gdzie treści dostarczane przez użytkowników są przypisywane do modelu `DBPost` bez odpowiedniego oczyszczania.

CVE-2026-6025
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setSyslogCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5997
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setLoginPasswordCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5996
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność bezpieczeństwa. Problem dotyczy funkcji setAdvancedInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem tty_server prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5995
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setMiniuiHomeInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem lan_info może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5994
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setTelnetCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem telnet_enabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5993
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiGuestCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5393
Krytyczne

Podatność CVE-2026-5393 dotyczy odczytu poza zakresem podczas przetwarzania wiadomości CertificateVerify z użyciem podwójnego algorytmu. Problem ten występuje tylko w przypadku, gdy podczas kompilacji wolfSSL użyto opcji --enable-experimental oraz --enable-dual-alg-certs.

CVE-2026-5503
Krytyczne

W funkcji TLSX_EchChangeSNI, gałąź ctx->extensions ustawiała rozszerzenia bezwarunkowo, nawet gdy TLSX_Find zwracał NULL. To spowodowało, że TLSX_UseSNI dołączał publicName kontrolowany przez atakującego do współdzielonego WOLFSSL_CTX, gdy nie skonfigurowano wewnętrznego SNI.

CVE-2026-34424
Krytyczne

Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPressa i Joomli zawiera wieloetapowy zestaw narzędzi do zdalnego dostępu, wstrzyknięty przez skompromitowany system aktualizacji, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu i poleceń. Atakujący mogą uruchamiać zdalne powłoki przed uwierzytelnieniem za pomocą nagłówków HTTP oraz tworzyć ukryte konta administratorów.

CVE-2026-5264
Krytyczne

Występuje przepełnienie bufora w stercie podczas przetwarzania wiadomości ACK w DTLS 1.3. Zdalny atakujący może wysłać spreparowaną wiadomość ACK DTLS 1.3, co prowadzi do przepełnienia bufora.

CVE-2026-40154
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.128, PraisonAI traktuje zdalnie pobrane pliki szablonów jako zaufany kod wykonywalny bez weryfikacji integralności, walidacji pochodzenia ani potwierdzenia użytkownika, co umożliwia ataki na łańcuch dostaw za pomocą złośliwych szablonów.

CVE-2026-33784
Krytyczne

Podatność w Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) polega na użyciu domyślnego hasła dla konta o wysokich uprawnieniach. Nie jest wymuszana zmiana tego hasła podczas konfiguracji, co umożliwia nieuwierzytelnionemu atakującemu zdalne przejęcie pełnej kontroli nad urządzeniem. Problem dotyczy wszystkich wersji vLWC przed 3.0.94.

CVE-2026-5978
Krytyczne

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setWiFiAclRules w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem mode prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5977
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wifiOff może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5976
Krytyczne

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setStorageCfg pliku /cgi-bin/cstecgi.cgi, która dotyczy komponentu CGI Handler. Manipulacja argumentem sambaEnabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5975
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setDmzCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem wanIdx prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5194
Krytyczne

Brak weryfikacji rozmiaru hasha/digestu oraz OID pozwala na akceptację digestów mniejszych niż dozwolone podczas weryfikacji certyfikatów ECDSA. Może to prowadzić do obniżenia bezpieczeństwa uwierzytelniania opartego na certyfikatach ECDSA, jeśli znany jest publiczny klucz CA.

CVE-2026-5187
Krytyczne

W funkcji DecodeObjectId() w pliku wolfcrypt/src/asn.c występują dwa potencjalne miejsca, w których może dojść do zapisu poza granicami bufora. Pierwsze z nich polega na tym, że sprawdzenie granic waliduje tylko jeden dostępny slot przed zapisaniem dwóch wartości OID, co umożliwia zapis 2 bajtów poza granicami, gdy outSz wynosi 1. Drugie dotyczy sytuacji, w której wielu wywołujących przekazuje rozmiar decOid (64 bajty na platformach 64-bitowych) zamiast liczby elementów MAX_OID_SZ (32), co pozwala na akceptację stworzonych OID z 33 lub więcej łukami, co prowadzi do zapisu poza końcem przydzielonego bufora.

CVE-2026-40089
Krytyczne

Sonicverse, samodzielnie hostowany stos Docker Compose do transmisji radiowej na żywo, zawiera podatność typu Server-Side Request Forgery (SSRF) w swoim kliencie API. W instalacjach utworzonych za pomocą skryptu install.sh, dashboard akceptuje kontrolowane przez użytkownika adresy URL i przekazuje je bez wystarczającej walidacji do klienta HTTP po stronie serwera.

PoprzedniaStrona 113 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS