Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność typu server-side request forgery (SSRF) w Azure Cloud Shell umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci. Atakujący może wykorzystać tę lukę do przeprowadzenia nieautoryzowanych działań w infrastrukturze chmurowej.
qui to interfejs webowy do zarządzania instancjami qBittorrent. Wersje 1.14.1 i wcześniejsze stosują zbyt liberalną politykę CORS, która odzwierciedla dowolne źródła, umożliwiając zewnętrznym stronom internetowym wykonywanie uwierzytelnionych żądań w imieniu zalogowanego użytkownika.
Step CA to internetowa jednostka certyfikująca, która umożliwia bezpieczne i zautomatyzowane zarządzanie certyfikatami dla DevOps. W wersjach 0.30.0-rc6 i starszych nie zabezpieczono się przed nieautoryzowanym wydawaniem certyfikatów za pomocą SCEP UpdateReq. Problem ten został naprawiony w wersji 0.30.0.
Podatność typu server-side request forgery (SSRF) w Microsoft Exchange umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.
OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Wersje przed 8.0.0.2 zawierają podatność na wstrzykiwanie poleceń w funkcjonalności kopii zapasowej, którą mogą wykorzystać uwierzytelnieni atakujący.
W bibliotece wolfSSL występują dwie podatności typu buffer overflow w parserze CRL, które mogą wystąpić podczas przetwarzania numerów CRL. Możliwe jest wystąpienie przepełnienia bufora w stercie przy niewłaściwym przechowywaniu numeru CRL jako ciągu szesnastkowego oraz przepełnienia stosu dla odpowiednio dużych numerów CRL.
W DedeCMS w wersji 5.7.118 i wcześniejszych występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą komponentu array_filter.
Wykorzystanie deterministycznego algorytmu generowania poświadczeń w /ftl/bin/calc_f2 w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 pozwala zdalnym atakującym na uzyskanie ważnych poświadczeń administracyjnych/root z adresu MAC urządzenia, co umożliwia ominięcie uwierzytelnienia i pełny dostęp do urządzenia.
W kliencie CWMP (/ftl/bin/cwmp) w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 występuje podatność na wstrzykiwanie poleceń systemowych. Zdalni atakujący mogą wykonać dowolne polecenia jako root, wykorzystując spreparowany adres URL pobierania TR-069, który jest przekazywany bez odpowiedniego zabezpieczenia do procesu aktualizacji oprogramowania.
Wykorzystanie twardo zakodowanego klucza AES-256-CBC w implementacji tworzenia kopii zapasowych/przywracania konfiguracji w oprogramowaniu układowym Small Cell Sercomm SCE4255W (FreedomFi Englewood) przed wersją DG3934v3@2308041842 umożliwia zdalnym uwierzytelnionym użytkownikom odszyfrowanie, modyfikację i ponowne zaszyfrowanie konfiguracji urządzenia.
OPEXUS eComplaint i eCASE przed wersją 10.1.0.0 zawierają kod weryfikacji sekretu w odpowiedzi HTTP podczas żądania resetowania hasła przez 'ForcePasswordReset.aspx'. Atakujący, który zna adres e-mail istniejącego użytkownika, może zresetować hasło i pytania zabezpieczające użytkownika.
W wersjach wgcloud do 2.3.7 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez funkcję testowania połączenia.
W aplikacji UniFi Network występuje podatność typu Path Traversal, która może być wykorzystana przez złośliwego aktora z dostępem do sieci. Umożliwia to dostęp do plików na systemie, co może prowadzić do manipulacji kontem użytkownika.
W bibliotece XML::Parser dla Perla w wersjach do 2.47 występuje przepełnienie sterty typu off-by-one w funkcji st_serial_stack. Błąd pojawia się, gdy stos nie jest rozszerzany przy osiągnięciu maksymalnego rozmiaru, co prowadzi do zapisu poza przydzielonym buforem.
Podatność CVE-2026-27067 w aplikacji Syarif Mobile App Editor umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji Mobile App Editor od n/a do 1.3.1 włącznie.
W podatności CVE-2026-27065 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku PHP w BuilderPress. Problem dotyczy wersji BuilderPress od n/a do 2.0.1 włącznie.
Podatność na deserializację niezaufanych danych w Themeton Finag umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Finag od n/a do 1.5.0.
Podatność CVE-2025-60233 dotyczy deserializacji niezaufanych danych w Themeton Zuut, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Zuut od n/a do 1.4.2.
W podatności CVE-2026-27542 występuje nieprawidłowe przypisanie uprawnień w wtyczce Woocommerce Wholesale Lead Capture, co umożliwia eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.3.1 włącznie.
Podatność CVE-2026-27540 dotyczy wtyczki Woocommerce Wholesale Lead Capture, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 2.0.3.1.

