Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-34566
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika w funkcjonalności zarządzania stronami. Wiele pól wejściowych akceptowało ładunki JavaScript kontrolowane przez atakującego, które były przechowywane po stronie serwera i później renderowane bez odpowiedniego kodowania wyjścia, co prowadziło do przechowywanego ataku XSS opartego na DOM.

CVE-2026-34565
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas dodawania postów do menu nawigacyjnego. W wyniku tego, dane związane z postami są przechowywane na serwerze i renderowane bez odpowiedniego kodowania, co prowadzi do podatności na przechowywane ataki XSS.

CVE-2026-34564
Krytyczne

CVE-2026-34564 dotyczy aplikacji CI4MS, która przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas dodawania stron do menu nawigacyjnego. W wyniku tego, dane związane ze stronami są przechowywane na serwerze i renderowane bez odpowiedniego kodowania, co prowadzi do podatności na przechowywane ataki XSS.

CVE-2026-34563
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas obsługi przesyłania kopii zapasowych. Atakujący może wstrzyknąć złośliwy ładunek JavaScript do nazwy pliku kopii zapasowej, co prowadzi do przechowywanego niewidocznego ataku XSS.

CVE-2026-34560
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 niebezpiecznie renderował dane wejściowe kontrolowane przez użytkownika w interfejsie logów. W przypadku istnienia jakiegokolwiek ładunku XSS w zapisanych danych, był on renderowany bez odpowiedniego kodowania wyjścia.

CVE-2026-34559
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który przed wersją 0.31.0.0 nieprawidłowo sanitizował dane wejściowe kontrolowane przez użytkownika podczas tworzenia lub edytowania tagów bloga. Atakujący może wstrzyknąć złośliwy ładunek JavaScript w pole nazwy tagu, który jest następnie przechowywany na serwerze.

CVE-2026-34873
Krytyczne

W Mbed TLS w wersjach od 3.5.0 do 4.0.0 odkryto problem, który pozwala na podszywanie się pod klienta podczas wznawiania sesji TLS 1.3.

CVE-2026-34520
Krytyczne

AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.13.4, parser C (domyślny w większości instalacji) akceptował bajty null i znaki kontrolne w nagłówkach odpowiedzi. Problem ten został naprawiony w wersji 3.13.4.

CVE-2026-34872
Krytyczne

W Mbed TLS w wersjach 3.5.x i 3.6.x do 3.6.5 oraz TF-PSA-Crypto 1.0 odkryto problem związany z brakiem zachowania przyczynowego w FFDH z powodu niewłaściwej walidacji danych wejściowych. Używając Diffie-Hellmana w polu skończonym, druga strona może wymusić, aby wspólny sekret znalazł się w małym zbiorze wartości.

CVE-2026-34456
Krytyczne

Reviactyl to otwartoźródłowy panel zarządzania serwerem gier, który miał podatność w procesie uwierzytelniania OAuth. W wersjach od 26.2.0-beta.1 do przed 26.2.0-beta.5, atakujący mógł automatycznie powiązać konta społecznościowe na podstawie dopasowania adresów e-mail, co prowadziło do przejęcia konta ofiary bez znajomości hasła.

CVE-2026-34875
Krytyczne

W Mbed TLS do wersji 3.6.5 oraz TF-PSA-Crypto 1.0.0 odkryto problem związany z przepełnieniem bufora, który może wystąpić podczas eksportu kluczy publicznych dla kluczy FFDH.

CVE-2026-34751
Krytyczne

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.79.1 w @payloadcms/graphql i payload występowała podatność w procesie odzyskiwania hasła, która mogła pozwolić nieautoryzowanemu atakującemu na wykonywanie działań w imieniu użytkownika inicjującego reset hasła.

CVE-2026-34159
Krytyczne

W wersjach przed b8492 biblioteka llama.cpp, odpowiedzialna za inferencję modeli LLM, nie przeprowadzała walidacji granic w funkcji deserialize_tensor() dla pól bufora tensorów równych 0. To pozwalało nieautoryzowanym atakującym na odczyt i zapis dowolnej pamięci procesu poprzez spreparowane wiadomości GRAPH_COMPUTE.

CVE-2026-33990
Krytyczne

Docker Model Runner (DMR) przed wersją 1.1.25 zawiera podatność SSRF w procesie wymiany tokenów OCI. Atakujący może wykorzystać tę lukę, aby Model Runner wykonywał dowolne żądania GET do wewnętrznych usług, co może prowadzić do ujawnienia danych.

CVE-2026-30643
Krytyczne

W DedeCMS w wersji 5.7.118 odkryto problem, który pozwala atakującym na wykonanie kodu poprzez spreparowane wartości tagów konfiguracyjnych podczas przesyłania modułów.

CVE-2026-20160
KrytyczneEPSS 56%

Podatność w Cisco Smart Software Manager On-Prem (SSM On-Prem) pozwala nieuwierzytelnionemu, zdalnemu atakującemu na wykonanie dowolnych poleceń na systemie operacyjnym hosta. Problem wynika z niezamierzonego udostępnienia wewnętrznego serwisu.

CVE-2026-20093
Krytyczne

Podatność w funkcjonalności zmiany hasła w Cisco Integrated Management Controller (IMC) umożliwia nieautoryzowanemu, zdalnemu atakującemu ominięcie uwierzytelnienia i uzyskanie dostępu do systemu jako Administrator. Problem wynika z nieprawidłowego przetwarzania żądań zmiany hasła.

CVE-2024-43028
Krytyczne

W komponentach /jmreport/show w jeecg boot w wersjach od 3.0.0 do 3.5.3 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonanie dowolnego kodu za pomocą odpowiednio skonstruowanego żądania HTTP.

CVE-2024-40489
Krytyczne

W wersjach 3.0.0 do 3.5.3 jeecg boot występuje podatność na wstrzykiwanie z powodu niedostatecznego filtrowania znaków, co umożliwia atakującym wykonanie dowolnego kodu na komponentach poprzez specjalnie przygotowane żądania HTTP.

CVE-2026-31027
Krytyczne

TOTOlink A3600R w wersji v5.9c.4959 zawiera podatność na przepełnienie bufora w interfejsie setAppEasyWizardConfig w pliku /lib/cste_modules/app.so. Problem wynika z niewłaściwej walidacji długości parametru rootSsid, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora, co może prowadzić do wykonania dowolnego kodu lub odmowy usługi.

PoprzedniaStrona 123 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS