Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-32169
Krytyczne

Podatność typu server-side request forgery (SSRF) w Azure Cloud Shell umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci. Atakujący może wykorzystać tę lukę do przeprowadzenia nieautoryzowanych działań w infrastrukturze chmurowej.

CVE-2026-30924
Krytyczne

qui to interfejs webowy do zarządzania instancjami qBittorrent. Wersje 1.14.1 i wcześniejsze stosują zbyt liberalną politykę CORS, która odzwierciedla dowolne źródła, umożliwiając zewnętrznym stronom internetowym wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika.

CVE-2026-30836
Krytyczne

Step CA to internetowa jednostka certyfikująca, która umożliwia bezpieczne i zautomatyzowane zarządzanie certyfikatami dla DevOps. W wersjach 0.30.0-rc6 i starszych nie zabezpieczono się przed nieautoryzowanym wydawaniem certyfikatów za pomocą SCEP UpdateReq. Problem ten został naprawiony w wersji 0.30.0.

CVE-2026-26137
Krytyczne

Podatność typu server-side request forgery (SSRF) w Microsoft Exchange umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32238
Krytyczne

OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Wersje przed 8.0.0.2 zawierają podatność na wstrzykiwanie poleceń w funkcjonalności kopii zapasowej, którą mogą wykorzystać uwierzytelnieni atakujący.

CVE-2026-3548
Krytyczne

W bibliotece wolfSSL występują dwie podatności typu buffer overflow w parserze CRL, które mogą wystąpić podczas przetwarzania numerów CRL. Możliwe jest wystąpienie przepełnienia bufora w stercie przy niewłaściwym przechowywaniu numeru CRL jako ciągu szesnastkowego oraz przepełnienia stosu dla odpowiednio dużych numerów CRL.

CVE-2026-30694
Krytyczne

W DedeCMS w wersji 5.7.118 i wcześniejszych występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą komponentu array_filter.

CVE-2025-67114
Krytyczne

Wykorzystanie deterministycznego algorytmu generowania poświadczeń w /ftl/bin/calc_f2 w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 pozwala zdalnym atakującym na uzyskanie ważnych poświadczeń administracyjnych/root z adresu MAC urządzenia, co umożliwia ominięcie uwierzytelnienia i pełny dostęp do urządzenia.

CVE-2025-67113
Krytyczne

W kliencie CWMP (/ftl/bin/cwmp) w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 występuje podatność na wstrzykiwanie poleceń systemowych. Zdalni atakujący mogą wykonać dowolne polecenia jako root, wykorzystując spreparowany adres URL pobierania TR-069, który jest przekazywany bez odpowiedniego zabezpieczenia do procesu aktualizacji oprogramowania.

CVE-2025-67112
Krytyczne

Wykorzystanie twardo zakodowanego klucza AES-256-CBC w implementacji tworzenia kopii zapasowych/przywracania konfiguracji w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 umożliwia zdalnym uwierzytelnionym użytkownikom odszyfrowanie, modyfikację i ponowne zaszyfrowanie konfiguracji urządzenia.

CVE-2026-32865
Krytyczne

OPEXUS eComplaint i eCASE przed wersją 10.1.0.0 zawierają kod weryfikacji sekretu w odpowiedzi HTTP podczas żądania resetowania hasła przez 'ForcePasswordReset.aspx'. Atakujący, który zna adres e-mail istniejącego użytkownika, może zresetować hasło i pytania zabezpieczające użytkownika.

CVE-2026-30402
Krytyczne

W wersjach wgcloud do 2.3.7 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez funkcję testowania połączenia.

CVE-2026-22557
Krytyczne

W aplikacji UniFi Network występuje podatność typu Path Traversal, która może być wykorzystana przez złośliwego aktora z dostępem do sieci. Umożliwia to dostęp do plików na systemie, co może prowadzić do manipulacji kontem użytkownika.

CVE-2006-10003
Krytyczne

W bibliotece XML::Parser dla Perla w wersjach do 2.47 występuje przepełnienie sterty typu off-by-one w funkcji st_serial_stack. Błąd pojawia się, gdy stos nie jest rozszerzany przy osiągnięciu maksymalnego rozmiaru, co prowadzi do zapisu poza przydzielonym buforem.

CVE-2026-27067
Krytyczne

Podatność CVE-2026-27067 w aplikacji Syarif Mobile App Editor umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Mobile App Editor od n/a do 1.3.1 włącznie.

CVE-2026-27065
Krytyczne

W podatności CVE-2026-27065 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku PHP w BuilderPress. Problem dotyczy wersji BuilderPress od n/a do 2.0.1 włącznie.

CVE-2025-60237
Krytyczne

Podatność na deserializację niezaufanych danych w Themeton Finag umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Finag od n/a do 1.5.0.

CVE-2025-60233
Krytyczne

Podatność CVE-2025-60233 dotyczy deserializacji niezaufanych danych w Themeton Zuut, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Zuut od n/a do 1.4.2.

CVE-2026-27542
Krytyczne

W podatności CVE-2026-27542 występuje nieprawidłowe przypisanie uprawnień w wtyczce Woocommerce Wholesale Lead Capture, co umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.3.1 włącznie.

CVE-2026-27540
Krytyczne

Podatność CVE-2026-27540 dotyczy wtyczki Woocommerce Wholesale Lead Capture, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 2.0.3.1.

PoprzedniaStrona 139 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS