Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-4585
Krytyczne

Wykryto podatność w platformie zarządzania Tiandy Easy7 do wersji 7.17.0, która dotyczy nieznanego kodu w pliku /Easy7/apps/WebService/ImportSystemConfiguration.jsp komponentu Configuration Handler. Manipulacja argumentem File prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-32968
Krytyczne

Z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemu operacyjnego, nieautoryzowany zdalny atakujący może wykorzystać podatność RCE w module com_mb24sysapi, co prowadzi do pełnego kompromitacji systemu. Ta podatność jest wariantem ataku dla CVE-2020-10383.

CVE-2026-3587
Krytyczne

Nieautoryzowany zdalny atakujący może wykorzystać ukrytą funkcję w interfejsie CLI, aby wydostać się z ograniczonego interfejsu, co prowadzi do pełnego przejęcia urządzenia.

CVE-2026-4599
Krytyczne

Biblioteka jsrsasign w wersjach od 7.0.0 do 11.1.0 zawiera podatność polegającą na niepełnym porównaniu w funkcjach getRandomBigIntegerZeroToMax i getRandomBigIntegerMinToMax. Atakujący może odzyskać klucz prywatny poprzez wykorzystanie błędnych sprawdzeń compareTo, które akceptują kandydatów spoza zakresu, co powoduje obciążenie nonce DSA podczas generowania podpisu.

CVE-2026-4567
Krytyczne

W urządzeniu Tenda A15 w wersji 15.13.07.13 odkryto podatność w funkcji UploadCfg w pliku /cgi-bin/UploadCfg. Manipulacja argumentem File prowadzi do przepełnienia bufora na stosie, co może być wykorzystane przez atakującego zdalnie.

CVE-2026-4606
Krytyczne

GV Edge Recording Manager (ERM) w wersji 2.3.1 niewłaściwie uruchamia komponenty aplikacji z uprawnieniami na poziomie SYSTEM, co pozwala każdemu lokalnemu użytkownikowi na uzyskanie pełnej kontroli nad systemem operacyjnym.

CVE-2019-25614
Krytyczne

Free Float FTP 1.0 zawiera podatność na przepełnienie bufora w obsłudze komendy STOR, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysłanie spreparowanego żądania STOR z nadmiernym ładunkiem. Atakujący mogą uwierzytelnić się za pomocą anonimowych danych logowania i wysłać złośliwą komendę STOR zawierającą 247 bajtów wypełnienia, a następnie adres powrotu i shellcode, aby wywołać wykonanie kodu na serwerze FTP.

CVE-2019-25568
Krytyczne

Memu Play w wersji 6.0.7 zawiera podatność na niebezpieczne uprawnienia plików, która pozwala użytkownikom o niskich uprawnieniach na eskalację uprawnień poprzez zastąpienie pliku wykonywalnego MemuService.exe. Atakujący mogą zmienić nazwę i nadpisać MemuService.exe w katalogu instalacyjnym złośliwym plikiem wykonywalnym, który uruchamia się z uprawnieniami systemowymi po ponownym uruchomieniu usługi.

CVE-2026-24060
Krytyczne

Informacje serwisowe nie są szyfrowane podczas transmisji jako pakiety BACnet, co umożliwia ich podsłuchiwanie, przechwytywanie i modyfikowanie przez atakującego. Cenne dane, takie jak Pozycja Początkowa Pliku i Dane Pliku, mogą być przechwycone z ruchu sieciowego przy użyciu filtra disektora BACnet w Wireshark.

CVE-2026-33228
Krytyczne

Biblioteka flatted (parser JSON) przed wersją 3.4.2 zawiera podatność, w której funkcja parse() nie sprawdza, czy klucze indeksów tablicy są numeryczne. Atakujący może użyć klucza '__proto__' w sparsowanym JSON, co powoduje wyciek referencji do Array.prototype do obiektu wyjściowego.

CVE-2026-33210
KrytyczneEPSS 53%

Podatność typu format string injection w bibliotece Ruby JSON (wersje 2.14.0 do 2.15.2.1, 2.17.1.2 i 2.19.2) może prowadzić do ataków DoS lub ujawnienia informacji, gdy używana jest opcja allow_duplicate_key: false podczas parsowania danych dostarczonych przez użytkownika. Problem został naprawiony w wersjach 2.15.2.1, 2.17.1.2 i 2.19.2.

CVE-2026-33186
KrytyczneEPSS 72%

Podatność w gRPC-Go przed wersją 1.79.3 umożliwia obejście autoryzacji z powodu nieprawidłowej walidacji nagłówka HTTP/2 `:path`. Serwer akceptuje żądania z pominiętym ukośnikiem na początku ścieżki (np. `Service/Method` zamiast `/Service/Method`), co powoduje, że reguły blokujące oparte na kanonicznych ścieżkach nie są dopasowywane, a żądanie może zostać przepuszczone przez regułę domyślną.

CVE-2026-29796
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalny ładowarka.

CVE-2026-25192
Krytyczne

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalny ładowarka.

CVE-2026-21732
Krytyczne

Strona internetowa zawierająca nietypowy kod shaderów GPU może zostać załadowana do procesu kompilatora GPU, co prowadzi do awarii z powodu zapisu poza przydzielonym obszarem pamięci w bibliotece kompilatora shaderów GPU. W pewnych warunkach, gdy proces kompilacji ma uprawnienia systemowe, może to umożliwić dalsze ataki na urządzenie.

CVE-2026-3584
Krytyczne

Wtyczka Kali Forms dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.4.9 poprzez funkcję 'form_process'. Problem wynika z funkcji 'prepare_post_data', która bezpośrednio mapuje klucze dostarczone przez użytkownika do wewnętrznego magazynu zastępczego, co umożliwia atakującym wykonanie kodu na serwerze.

CVE-2026-22901
Krytyczne

Zgłoszono podatność na wstrzykiwanie poleceń w QuNetSwitch. Zdalny atakujący, posiadając konto użytkownika, może wykorzystać tę podatność do wykonywania dowolnych poleceń.

CVE-2026-22900
Krytyczne

Zgłoszono podatność związaną z użyciem twardo zakodowanych poświadczeń w QuNetSwitch. Zdalni atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu.

CVE-2026-22898
Krytyczne

Zgłoszono podatność w QVR Pro, polegającą na braku uwierzytelnienia dla krytycznej funkcji. Zdalni atakujący mogą wykorzystać tę podatność, aby uzyskać dostęp do systemu.

CVE-2026-22897
Krytyczne

Zgłoszono podatność na wstrzykiwanie poleceń w QuNetSwitch, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń. Problem został naprawiony w wersji QuNetSwitch 2.0.4.0415 i nowszych.

PoprzedniaStrona 136 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS