Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-35616
Krytyczne

W Fortinet FortiClientEMS w wersjach 7.4.5 do 7.4.6 występuje podatność związana z niewłaściwą kontrolą dostępu, która może umożliwić nieautoryzowanemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pomocą odpowiednio przygotowanych żądań.

CVE-2026-34953
Krytyczne

PraisonAI to system zespołów wieloagentowych. Przed wersją 4.5.97 metoda OAuthManager.validate_token() zwracała True dla każdego tokena, który nie był znaleziony w wewnętrznym magazynie, który domyślnie jest pusty. Każde żądanie HTTP do serwera MCP z dowolnym tokenem Bearer było traktowane jako uwierzytelnione, co przyznawało pełny dostęp do wszystkich zarejestrowanych narzędzi i możliwości agentów.

CVE-2026-34952
Krytyczne

PraisonAI to system wieloagentowy, który przed wersją 4.5.97 akceptował połączenia WebSocket na /ws oraz udostępniał topologię agentów na /info bez autoryzacji. Każdy klient sieciowy mógł się połączyć, enumerować zarejestrowane agenty oraz wysyłać dowolne wiadomości do agentów i ich zestawów narzędzi.

CVE-2026-34938
Krytyczne

PraisonAI to system zespołów wieloagentowych. Przed wersją 1.5.90, funkcja execute_code() w praisonai-agents uruchamiała kontrolowany przez atakującego kod Python w trójwarstwowym piaskownicy, którą można było całkowicie obejść, przekazując podklasę str z nadpisaną metodą startswith(), co prowadziło do wykonania dowolnych poleceń systemowych na hoście.

CVE-2026-34935
Krytyczne

PraisonAI to system wieloagentowych zespołów. W wersjach od 4.5.15 do przed 4.5.69 argument CLI --mcp jest przekazywany bezpośrednio do shlex.split() i dalej przez łańcuch wywołań do anyio.open_process() bez walidacji, co umożliwia wykonanie dowolnych poleceń systemowych jako użytkownik procesu.

CVE-2026-34934
Krytyczne

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.90 funkcja get_all_user_threads konstruuje surowe zapytania SQL przy użyciu f-stringów z nieescapowanymi identyfikatorami wątków pobranymi z bazy danych, co umożliwia atakującemu wstrzyknięcie złośliwego identyfikatora wątku.

CVE-2026-34612
Krytyczne

Kestra to otwartoźródłowa platforma orkiestracji oparta na zdarzeniach. W wersjach przed 1.3.7 występuje podatność na wstrzykiwanie SQL, która prowadzi do zdalnego wykonania kodu (RCE) w punkcie końcowym 'GET /api/v1/main/flows/search'.

CVE-2021-4477
Krytyczne

Produkty Hirschmann HiLCOS OpenBAT i BAT450 zawierają podatność na obejście zapory ogniowej w implementacjach IPv6 IPsec, co pozwala na omijanie skonfigurowanych reguł zapory dla ruchu z połączeń VPN. Atakujący mogą wykorzystać tę podatność, nawiązując połączenia IPv6 IPsec (IKEv1 lub IKEv2) przy jednoczesnym korzystaniu z połączenia internetowego IPv6.

CVE-2018-25236
Krytyczne

Produkty Hirschmann HiOS i HiSecOS, takie jak RSP, RSPE, RSPS, RSPL, MSP, EES, EESX, GRS, OS, RED, EAGLE, zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez odpowiednio skonstruowane żądania HTTP.

CVE-2017-20236
Krytyczne

Brama komórkowa ProSoft Technology ICX35-HWC w wersjach 1.3 i wcześniejszych zawiera podatność na niewłaściwą walidację danych wejściowych w interfejsie webowym. Umożliwia to zdalnym atakującym wstrzykiwanie i wykonywanie poleceń systemowych poprzez przesyłanie złośliwych danych przez niewalidowane pola.

CVE-2017-20235
Krytyczne

Brama komórkowa ProSoft Technology ICX35-HWC w wersji 1.3 i wcześniejszych zawiera podatność na obejście uwierzytelniania w interfejsie użytkownika, co pozwala nieautoryzowanym atakującym uzyskać dostęp do funkcji administracyjnych bez ważnych poświadczeń. Atakujący mogą ominąć mechanizm uwierzytelniania w dotkniętych wersjach oprogramowania, uzyskując pełny dostęp administracyjny do konfiguracji i ustawień urządzenia.

CVE-2017-20234
Krytyczne

Przełączniki zarządzane GarrettCom Magnum 6K i 10K zawierają podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do funkcji administracyjnych oraz wrażliwej konfiguracji przełącznika, wykorzystując wbudowany ciąg w mechanizmie uwierzytelniania. Atakujący mogą ominąć kontrole logowania bez ważnych poświadczeń.

CVE-2026-27634
Krytyczne

Piwigo to aplikacja do zarządzania galerią zdjęć, która przed wersją 16.3.0 miała problem z filtrowaniem dat w funkcji ws_std_image_sql_filter(). Parametry filtrów dat były łączone bezpośrednio w zapytaniach SQL, co mogło prowadzić do ataków SQL injection.

CVE-2018-25237
Krytyczne

Urządzenia Hirschmann HiSecOS w wersjach przed 05.3.03 zawierają podatność na przepełnienie bufora w interfejsie logowania HTTPS, gdy uwierzytelnianie RADIUS jest włączone. Atakujący mogą wykorzystać tę podatność, przesyłając hasło dłuższe niż 128 znaków, co może prowadzić do awarii urządzenia lub wykonania dowolnego kodu.

CVE-2026-28766
Krytyczne

Konkretne endpointy ujawniają wszystkie informacje o kontach użytkowników zarejestrowanych w systemie Gardyn bez wymogu uwierzytelnienia.

CVE-2026-25197
Krytyczne

Specyficzny punkt końcowy pozwala uwierzytelnionym użytkownikom na przełączanie się do profili innych użytkowników poprzez modyfikację numeru identyfikacyjnego w wywołaniu API.

CVE-2017-20237
Krytyczne

Wersje Hirschmann Industrial HiVision przed 06.0.07 i 07.0.03 zawierają podatność na obejście uwierzytelniania w usłudze głównej, która pozwala nieautoryzowanym zdalnym atakującym na wykonywanie dowolnych poleceń z uprawnieniami administratora. Atakujący mogą wywoływać metody interfejsu udostępnione przez zdalną usługę, aby obejść uwierzytelnianie i uzyskać zdalne wykonanie kodu w systemie operacyjnym.

CVE-2026-28798
Krytyczne

ZimaOS, będący fork'iem CasaOS, przed wersją 1.5.3, posiadał punkt końcowy proxy (/v1/sys/proxy) w interfejsie webowym, który mógł być nadużyty do wysyłania żądań do wewnętrznych usług localhost. To prowadziło do nieautoryzowanego dostępu do wewnętrznych punktów końcowych i wrażliwych usług lokalnych, gdy produkt był dostępny z Internetu przez Cloudflare Tunnel.

CVE-2026-32186
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Bing umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci. Atakujący może wykorzystać tę lukę do przeprowadzenia nieautoryzowanych działań w systemie.

CVE-2026-0545
KrytyczneEPSS 90%

W mlflow/mlflow endpointy FastAPI dla zadań pod `/ajax-api/3.0/jobs/*` nie są chronione autoryzacją ani uwierzytelnianiem, gdy włączona jest aplikacja `basic-auth`. Nawet jeśli włączono uwierzytelnianie podstawowe, każdy klient sieciowy może bez poświadczeń przesyłać, odczytywać, wyszukiwać i anulować zadania, co omija mechanizm uwierzytelniania.

PoprzedniaStrona 116 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS