Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
ZKTeco ZKTime.Net w wersji 3.0.1.6 zawiera podatność na niebezpieczne uprawnienia plików, która pozwala nieuprzywilejowanym użytkownikom na eskalację uprawnień poprzez modyfikację plików wykonywalnych. Atakujący mogą wykorzystać uprawnienia do zapisu dla wszystkich w katalogu ZKTimeNet3.0 oraz jego zawartości, aby zastąpić pliki wykonywalne złośliwymi binariami.
Wtyczka Pix for WooCommerce dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji 'lkn_pix_for_woocommerce_c6_save_settings' we wszystkich wersjach do 1.5.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W podatności CVE-2026-32367 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w bibliotece Modal Dialog w wersjach od n/a do 3.5.16. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego kodu.
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.23, API agregacji telemetrycznej akceptowało parametry kontrolowane przez użytkownika, co umożliwiało wstrzykiwanie dowolnego SQL do zapytań ClickHouse, co prowadziło do poważnych zagrożeń dla bezpieczeństwa.
Biblioteka Locutus w wersji przed 3.0.14 zawiera podatność w funkcji create_function(args, code), która przekazuje oba parametry bezpośrednio do konstruktora Function bez żadnej sanityzacji, umożliwiając wykonanie dowolnego kodu JavaScript.
Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.
Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.
W FreeRDP przed wersją 3.24.0 funkcja gdi_surface_bits() nieprawidłowo waliduje wartości bmp.width i bmp.height dostarczane przez serwer RDP. Złośliwy serwer może przesłać spreparowane wartości przekraczające rozmiar powierzchni, co prowadzi do przepełnienia bufora sterty podczas dekodowania bitmap. Atakujący może kontrolować dane pikseli, co umożliwia potencjalne nadpisanie sąsiedniej pamięci sterty.
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.34 istniała możliwość uzyskania tablic zawierających funkcje, co pozwalało na ucieczkę z sandboxa.
Urządzenia HMS Networks Ewon Flexy z firmware przed 15.0s4, Cosy+ z firmware 22.xx przed 22.1s6 oraz Cosy+ z firmware 23.xx przed 23.0s3 mają podatność na przepełnienie bufora stosu, co prowadzi do odmowy usługi. Ta podatność może być również wykorzystana do zdalnego wykonania kodu bez uwierzytelnienia.
Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.
Podatność typu 'HTTP Request Smuggling' w module httpd Erlang OTP pozwala na nieprawidłową interpretację nagłówków HTTP. Serwer nie odrzuca ani nie normalizuje zduplikowanych nagłówków Content-Length, co prowadzi do desynchronizacji między front-endem a back-endem.
Voltronic Power SNMP Web Pro w wersji 1.1 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do uprzywilejowanych funkcji zarządzania poprzez manipulację wartościami localStorage w przeglądarce. Atakujący mogą modyfikować stan uwierzytelnienia po stronie klienta, aby obejść kontrole dostępu po stronie serwera.
Interfejs webowy na wielu przełącznikach Omada nieprawidłowo waliduje niektóre zewnętrzne dane wejściowe, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem podczas przetwarzania spreparowanych żądań. W określonych warunkach ta wada może skutkować niezamierzonym wykonaniem poleceń.
Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.6.0-alpha.12 i 8.6.38, nieautoryzowany atakujący może przejąć dowolne konto użytkownika utworzone z użyciem dostawcy uwierzytelniania, który nie weryfikuje formatu identyfikatora użytkownika, co pozwala na uzyskanie ważnego tokena sesji.
ZeptoClaw to osobisty asystent AI, który przed wersją 0.7.6 miał podatność na obejście komponentu związanego z wiszącymi dowiązaniami, problem TOCTOU między walidacją a użyciem oraz obejście aliasu dowiązania twardego. Podatność ta została naprawiona w wersji 0.7.6.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez funkcję set_config. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.
W podatności CVE-2025-70245 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWizardSelectMode.
W podatności typu 'Użycie zakodowanych na sztywno, istotnych dla bezpieczeństwa stałych' w systemach Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.

