Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-30532
Krytyczne

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.

CVE-2026-30530
Krytyczne

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.

CVE-2026-30302
Krytyczne

Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.

CVE-2026-33757
Krytyczne

OpenBao przed wersją 2.5.2 nie wymaga potwierdzenia użytkownika podczas logowania przez JWT/OIDC z rolą ustawioną na `callback_mode=direct`. Pozwala to atakującemu na zdalne phishingowe przejęcie sesji ofiary poprzez automatyczne logowanie do konta atakującego.

CVE-2026-30304
Krytyczne

W projekcie automatycznego wykonywania poleceń terminalowych, AI Code oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.

CVE-2026-30303
Krytyczne

Moduł automatycznej akceptacji poleceń w Axon Code zawiera podatność na wstrzyknięcie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który jest niekompatybilny z systemem Windows.

CVE-2026-27876
KrytyczneEPSS 77%

Łańcuchowy atak wykorzystujący wyrażenia SQL oraz wtyczkę Grafana Enterprise może prowadzić do zdalnego wykonania dowolnego kodu (RCE). Podatność wynika z funkcji dostępnej w Grafana (OSS), dlatego zaleca się aktualizację wszystkich instalacji.

CVE-2026-4622
Krytyczne

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonanie dowolnych poleceń systemowych przez sieć.

CVE-2026-4620
Krytyczne

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonywanie dowolnych poleceń systemowych przez sieć.

CVE-2026-4619
Krytyczne

Podatność typu Path Traversal w serii Aterm firmy NEC Platforms umożliwia atakującemu nadpisanie dowolnego pliku przez sieć.

CVE-2026-25101
Krytyczne

Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

CVE-2026-33280
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje ukryty problem z funkcjonalnością, który może umożliwić atakującemu dostęp do funkcji debugowania urządzenia, co skutkuje możliwością wykonania dowolnych poleceń systemu operacyjnego.

CVE-2026-32669
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie kodu. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na tych urządzeniach.

CVE-2026-27650
Krytyczne

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego polecenia systemowego na tych urządzeniach.

CVE-2026-22738
Krytyczne

W Spring AI występuje podatność na wstrzykiwanie SpEL w SimpleVectorStore, gdy wartość dostarczona przez użytkownika jest używana jako klucz wyrażenia filtru. Złośliwy aktor może wykorzystać tę podatność do wykonania dowolnego kodu.

CVE-2026-33890
Krytyczne

MyTube to samodzielnie hostowany downloader i odtwarzacz dla kilku stron wideo. Przed wersją 1.8.71, nieautoryzowany atakujący mógł zarejestrować dowolny klucz dostępu i uzyskać pełną sesję administratora, ponieważ aplikacja udostępniała punkty rejestracji kluczy dostępu bez wymogu wcześniejszej autoryzacji.

CVE-2026-33729
Krytyczne

OpenFGA to wydajny i elastyczny silnik autoryzacji, który w wersjach przed 1.13.1 może w określonych warunkach generować ten sam klucz pamięci podręcznej dla różnych żądań sprawdzających. Może to prowadzić do ponownego użycia wcześniejszego wyniku z pamięci podręcznej dla innego żądania, co wpływa na użytkowników korzystających z modeli z relacjami opartymi na ocenie warunków.

CVE-2026-33728
Krytyczne

Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.

CVE-2026-33701
KrytyczneEPSS 56%

Podatność w OpenTelemetry Java Instrumentation przed wersją 2.26.1 umożliwia zdalne wykonanie kodu poprzez deserializację danych bez filtrów w integracji RMI. Atak wymaga dostępu do portu JMX/RMI na JVM z wersją JDK 16 lub starszą oraz obecności bibliotek typu gadget-chain na classpath.

CVE-2026-33945
Krytyczne

Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0, atakujący mógł skonfigurować klucz, który pozwalał na zapisanie danych poza katalogiem `credentials`, co umożliwiało eskalację uprawnień oraz ataki typu denial of service.

PoprzedniaStrona 129 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS