Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-62319
Krytyczne

CVE-2025-62319 dotyczy podatności na atak typu Boolean-Based SQL Injection, gdzie atakujący może manipulować zapytaniami SQL poprzez wstrzykiwanie warunków logicznych (PRAWDA lub FAŁSZ) do pól wejściowych aplikacji. Aplikacja reaguje różnie w zależności od tego, czy wstrzyknięty warunek jest prawdziwy, co umożliwia atakującemu wstrzykiwanie dowolnego SQL do zapytań konfiguracyjnych w backendzie.

CVE-2026-4184
Krytyczne

Wykryto podatność w D-Link DIR-816 w wersji 1.10CNB05, która dotyczy nieznanej funkcjonalności pliku /goform/form2Wl5BasicSetup.cgi komponentu goahead. Manipulacja argumentem pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4183
Krytyczne

W urządzeniu D-Link DIR-816 w wersji 1.10CNB05 wykryto podatność bezpieczeństwa. Manipulacja argumentem pskValue w pliku /goform/form2WlanBasicSetup.cgi prowadzi do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.

CVE-2026-4182
Krytyczne

Zidentyfikowano słabość w D-Link DIR-816 1.10CNB05, która dotyczy nieznanej funkcji pliku /goform/form2Wl5RepeaterStep2.cgi komponentu goahead. Manipulacja argumentami key1/key2/key3/key4/pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4181
Krytyczne

W urządzeniach D-Link DIR-816 w wersji 1.10CNB05 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /goform/form2RepeaterStep2.cgi komponentu goahead. Manipulacja argumentami key1/key2/key3/key4/pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4170
Krytyczne

W systemie Topsec TopACM 3.0 zidentyfikowano słabość w nieznanej funkcjonalności pliku /view/systemConfig/management/nmc_sync.php, która dotyczy komponentu HTTP Request Handler. Manipulacja argumentem template_path może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-4164
Krytyczne

W urządzeniu Wavlink WL-WN578W2 221110 zidentyfikowano lukę w funkcji Delete_Mac_list/SetName/GuestWifi w pliku /cgi-bin/wireless.cgi. Wykonanie manipulacji może prowadzić do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-4163
Krytyczne

Wykryto podatność w urządzeniu Wavlink WL-WN579A3 220323, która dotyczy funkcji SetName/GuestWifi w pliku /cgi-bin/wireless.cgi. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-32640
Krytyczne

Biblioteka SimpleEval przed wersją 1.0.5 zawiera podatność umożliwiającą wyciek niebezpiecznych modułów i funkcji do piaskownicy. Atakujący może uzyskać dostęp do zabronionych obiektów poprzez atrybuty przekazanych nazw lub przekazując niebezpieczne funkcje jako callbacki do dozwolonych funkcji.

CVE-2026-32635
Krytyczne

W platformie Angular zidentyfikowano podatność typu Cross-Site Scripting (XSS) w wersjach przed 22.0.0-next.3, 21.2.4, 20.3.18 i 19.2.20. Problem występuje, gdy aplikacja używa atrybutu wrażliwego na bezpieczeństwo w połączeniu z możliwością internacjonalizacji atrybutów, co może prowadzić do wstrzyknięcia złośliwego skryptu.

CVE-2026-32626
Krytyczne

AnythingLLM to aplikacja, która przekształca treści w kontekst używany przez LLM podczas czatowania. W wersji 1.11.1 i wcześniejszych, aplikacja zawiera podatność XSS w fazie renderowania czatu, która może prowadzić do zdalnego wykonania kodu na hoście z powodu niebezpiecznej konfiguracji Electron.

CVE-2026-32621
Krytyczne

W Apollo Federation, przed wersjami 2.9.6, 2.10.5, 2.11.6, 2.12.3 i 2.13.2, występuje podatność w wykonaniu planu zapytań w bramce, która może umożliwić zanieczyszczenie Object.prototype w określonych scenariuszach. Złośliwy klient może zanieczyścić Object.prototype w bramce, tworząc operacje z aliasami pól i/lub nazwami zmiennych, które celują w właściwości dziedziczone przez prototyp.

CVE-2026-20998
Krytyczne

W Smart Switch przed wersją 3.7.69.15 występuje niewłaściwa autoryzacja, która pozwala zdalnym atakującym na ominięcie procesu uwierzytelniania.

CVE-2026-20997
Krytyczne

Nieprawidłowa weryfikacja podpisu kryptograficznego w Smart Switch przed wersją 3.7.69.15 umożliwia zdalnym atakującym potencjalne ominięcie uwierzytelnienia.

CVE-2025-69246
Krytyczne

Raytha CMS nie posiada mechanizmu ochrony przed atakami typu brute force, co umożliwia atakującemu wysyłanie wielu zautomatyzowanych próśb logowania bez wywoływania blokady, ograniczeń prędkości czy dodatkowych wyzwań.

CVE-2025-15060
Krytyczne

Podatność CVE-2025-15060 dotyczy narzędzia claude-hovercraft i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2017-20224
Krytyczne

Router Telesquare SKT LTE SDT-CS3B1 w wersji 1.2.0 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwej zawartości poprzez wykorzystanie włączonych metod HTTP WebDAV. Atakujący mogą używać metod PUT, DELETE, MKCOL, MOVE, COPY i PROPPATCH do przesyłania kodu wykonywalnego, usuwania plików lub manipulowania zawartością serwera.

CVE-2017-20223
Krytyczne

Oprogramowanie układowe routera Telesquare SKT LTE SDT-CS3B1 w wersji 1.2.0 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektów, co pozwala atakującym na obejście autoryzacji i dostęp do zasobów poprzez manipulację parametrami wejściowymi dostarczanymi przez użytkownika. Atakujący mogą bezpośrednio odnosić się do obiektów w systemie, aby uzyskać wrażliwe informacje i dostęp do funkcji bez odpowiednich kontroli dostępu.

CVE-2016-20030
Krytyczne

ZKTeco ZKBioSecurity 3.0 zawiera podatność na enumerację użytkowników, która pozwala nieautoryzowanym atakującym na odkrycie ważnych nazw użytkowników poprzez przesyłanie częściowych znaków w parametrze nazwy użytkownika.

CVE-2016-20026
Krytyczne

ZKTeco ZKBioSecurity 3.0 zawiera wbudowane dane uwierzytelniające w dołączonym serwerze Apache Tomcat, co umożliwia nieautoryzowanym atakującym dostęp do aplikacji menedżera. Atakujący mogą uwierzytelnić się za pomocą wbudowanych danych w pliku tomcat-users.xml, aby przesyłać złośliwe archiwa WAR zawierające aplikacje JSP i wykonywać dowolny kod z uprawnieniami SYSTEM.

PoprzedniaStrona 142 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS