Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2024-43028
Krytyczne

W komponentach /jmreport/show w jeecg boot w wersjach od 3.0.0 do 3.5.3 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonanie dowolnego kodu za pomocą odpowiednio skonstruowanego żądania HTTP.

CVE-2024-40489
Krytyczne

W wersjach 3.0.0 do 3.5.3 jeecg boot występuje podatność na wstrzykiwanie z powodu niedostatecznego filtrowania znaków, co umożliwia atakującym wykonanie dowolnego kodu na komponentach poprzez specjalnie przygotowane żądania HTTP.

CVE-2026-31027
Krytyczne

TOTOlink A3600R w wersji v5.9c.4959 zawiera podatność na przepełnienie bufora w interfejsie setAppEasyWizardConfig w pliku /lib/cste_modules/app.so. Problem wynika z niewłaściwej walidacji długości parametru rootSsid, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora, co może prowadzić do wykonania dowolnego kodu lub odmowy usługi.

CVE-2026-29014
Krytyczne

MetInfo CMS w wersjach 7.9, 8.0 i 8.1 zawiera podatność na wstrzykiwanie kodu PHP, która nie wymaga uwierzytelnienia. Atakujący mogą wysyłać spreparowane żądania z złośliwym kodem PHP, co pozwala na zdalne wykonanie dowolnego kodu.

CVE-2026-4370
Krytyczne

Zidentyfikowano podatność w Juju od wersji 3.2.0 do 3.6.19 oraz od wersji 4.0 do 4.0.4, gdzie wewnętrzny klaster bazy danych Dqlite nie przeprowadza właściwej autoryzacji TLS dla klientów i serwerów. Punkt końcowy bazy danych kontrolera Juju nie weryfikuje certyfikatów klientów, co pozwala nieautoryzowanemu atakującemu dołączyć do klastra bazy danych.

CVE-2025-15484
Krytyczne

Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.

CVE-2026-5290
Krytyczne

Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5289
Krytyczne

W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5288
Krytyczne

Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-4374
Krytyczne

Podatność w RTI Connext Professional związana z niewłaściwym ograniczeniem odniesień do zewnętrznych jednostek XML umożliwia nieautoryzowane powiązania danych oraz eksplozję jednostek zewnętrznych w serializacji danych.

CVE-2025-71279
Krytyczne

XenForo w wersjach przed 2.3.7 zawiera problem bezpieczeństwa dotyczący kluczy dostępu (Passkeys) dodanych do kont użytkowników. Atakujący może być w stanie naruszyć bezpieczeństwo uwierzytelniania opartego na kluczach dostępu.

CVE-2026-34449
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2, złośliwa strona internetowa mogła uzyskać zdalne wykonanie kodu (RCE) na dowolnym komputerze z uruchomionym SiYuan, wykorzystując liberalną politykę CORS do wstrzyknięcia fragmentu JavaScript przez API.

CVE-2026-34448
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.6.2, atakujący mógł umieścić złośliwy URL w polu mAsse w widoku atrybutów, co prowadziło do przechowywanego XSS, gdy ofiara otworzyła widok Galerii lub Kanban z włączoną opcją „Cover From -> Asset Field”.

CVE-2026-34400
Krytyczne

Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.

CVE-2026-1579
Krytyczne

Protokół komunikacyjny MAVLink domyślnie nie wymaga uwierzytelnienia kryptograficznego. Gdy podpisywanie wiadomości MAVLink 2.0 nie jest włączone, każda wiadomość, w tym SERIAL_CONTROL, która zapewnia dostęp do interaktywnej powłoki, może być wysyłana przez nieautoryzowaną stronę mającą dostęp do interfejsu MAVLink.

CVE-2026-30285
Krytyczne

Podatność CVE-2026-30285 w Zora: Post, Trade, Earn Crypto v2.60.0 umożliwia atakującym nadpisanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30286
Krytyczne

W Zefiro Cloud v32.0.2026011614 firmy Funambol, Inc. występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30283
Krytyczne

Podatność w aplikacji NIS Animal Sounds and Ringtones w wersji 1.3.0 umożliwia atakującym nadpisywanie krytycznych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30282
Krytyczne

Podatność w aplikacji Cast to TV Screen Mirroring v2.2.77 umożliwia nadpisywanie dowolnych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do zdalnego wykonania kodu lub ujawnienia informacji.

CVE-2026-30278
Krytyczne

Podatność w aplikacji FLY is FUN Aviation Navigation v35.33 umożliwia atakującym nadpisanie dowolnych plików wewnętrznych podczas procesu importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

PoprzedniaStrona 124 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS