Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-70082
Krytyczne

W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 wykryto podatność w komponencie ltrx_evo, która umożliwia atakującemu wykonanie dowolnego kodu oraz uzyskanie wrażliwych informacji.

CVE-2025-67041
Krytyczne

W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 odkryto podatność polegającą na braku odpowiedniego oczyszczania parametru hosta w kliencie TFTP na stronie Filesystem Browser. Można to wykorzystać do wyjścia z oryginalnego polecenia i wykonania dowolnego polecenia z uprawnieniami roota.

CVE-2025-67039
Krytyczne

W urządzeniu Lantronix EDS3000PS w wersji 3.1.0.0R2 wykryto podatność umożliwiającą ominięcie uwierzytelniania na stronach zarządzania. Wystarczy dodać określony sufiks do adresu URL oraz wysłać nagłówek Authorization z nazwą użytkownika 'admin'.

CVE-2025-67038
KrytyczneAktywnie exploitowaneEPSS 55%

W urządzeniach Lantronix EDS5000 w wersji 2.1.0.0R3 odkryto podatność polegającą na wstrzykiwaniu poleceń systemu operacyjnego. Moduł HTTP RPC wykonuje polecenie powłoki do zapisu logów po nieudanym uwierzytelnieniu, a nazwa użytkownika jest bezpośrednio łączona z poleceniem bez żadnej sanityzacji. Atakujący mogą wstrzyknąć dowolne polecenia OS w parametr nazwy użytkownika, które są wykonywane z uprawnieniami root.

CVE-2025-67035
Krytyczne

W urządzeniach Lantronix EDS5000 w wersji 2.1.0.0R3 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego w stronach klienta i serwera SSH. Brak sanityzacji parametrów wejściowych umożliwia atakującemu wstrzyknięcie dowolnych poleceń podczas usuwania obiektów takich jak klucze serwera, użytkownicy czy znane hosty. Polecenia są wykonywane z uprawnieniami roota.

CVE-2026-30741
Krytyczne

W podatności CVE-2026-30741 w platformie OpenClaw Agent v2026.2.6 występuje możliwość zdalnego wykonania kodu (RCE) poprzez atak typu injection w promptach po stronie żądania, co pozwala atakującym na wykonanie dowolnego kodu.

CVE-2026-28229
Krytyczne

Argo Workflows przed wersjami 4.0.2 i 3.7.11 umożliwia nieautoryzowany dostęp do szablonów przepływów pracy (WorkflowTemplates i ClusterWorkflowTemplates) poprzez dowolne żądanie z tokenem Authorization: Bearer nothing. Może to prowadzić do wycieku wrażliwych danych, w tym osadzonych manifestów Secret.

CVE-2026-27897
Krytyczne

W aplikacji Vociferous przed wersją 4.4.2 występuje podatność w pliku src/api/system.py w trasie export_file. Aplikacja akceptuje ładunek JSON zawierający nazwę pliku i treść, jednak nie weryfikuje poprawności nazwy pliku przed przetworzeniem przez logikę systemu plików.

CVE-2026-30903
Krytyczne

W funkcji poczty w Zoom Workplace dla systemu Windows przed wersją 6.6.0 występuje zewnętrzna kontrola nazwy pliku lub ścieżki, co może umożliwić nieautoryzowanemu użytkownikowi eskalację uprawnień poprzez dostęp sieciowy.

CVE-2026-3826
Krytyczne

IFTOP opracowany przez WellChoose ma podatność na lokalne włączenie pliku, co pozwala nieautoryzowanym zdalnym atakującym na wykonanie dowolnego kodu na serwerze.

CVE-2026-2631
Krytyczne

Wtyczka Datalogics Ecommerce Delivery dla WordPressa przed wersją 2.6.60 udostępnia nieautoryzowany punkt końcowy REST, który pozwala zdalnym użytkownikom na modyfikację opcji `datalogics_token` bez weryfikacji. Token ten jest następnie używany do autoryzacji w chronionym punkcie końcowym, co umożliwia wykonywanie dowolnych operacji `update_option()` w WordPressie.

CVE-2026-27842
Krytyczne

W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z ominięciem uwierzytelniania, który może pozwolić atakującemu na ominięcie procesu logowania i zmianę konfiguracji urządzenia.

CVE-2026-24448
Krytyczne

W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu uzyskanie dostępu administracyjnego.

CVE-2023-27573
Krytyczne

Netbox-docker w wersjach przed 2.5.0 posiada konto superużytkownika z domyślnymi danymi logowania. Domyślne hasło dla konta admin to 'admin', a wartość SUPERUSER_API_TOKEN to '0123456789abcdef0123456789abcdef01234567'.

CVE-2026-29515
Krytyczne

MiCode FileExplorer zawiera podatność na obejście uwierzytelniania w wbudowanym komponencie serwera FTP SwiFTP, co pozwala atakującym na logowanie się bez ważnych poświadczeń.

CVE-2026-23813
Krytyczne

Zidentyfikowano podatność w interfejsie zarządzania opartym na sieci web przełączników AOS-CX, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na obejście istniejących zabezpieczeń uwierzytelniania. W niektórych przypadkach może to umożliwić zresetowanie hasła administratora.

CVE-2026-31800
Krytyczne

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.5.2-alpha.12 i 8.6.25, wewnętrzne klasy _GraphQLConfig i _Audience mogą być odczytywane, modyfikowane i usuwane za pomocą ogólnych tras API REST bez uwierzytelnienia klucza głównego.

CVE-2026-30966
Krytyczne

Parse Server, otwarte oprogramowanie backendowe, przed wersjami 9.5.2-alpha.7 i 8.6.20, pozwalało na bezpośredni dostęp do wewnętrznych tabel przez REST API lub GraphQL API przy użyciu jedynie klucza aplikacji. Atakujący mógł tworzyć, odczytywać, aktualizować lub usuwać rekordy w wewnętrznych tabelach relacji.

CVE-2026-30965
Krytyczne

Parse Server, otwarte źródło backendu, ma podatność w obsłudze zapytań, która pozwala atakującemu na wykradanie tokenów sesji innych użytkowników. Wymaga to, aby atakujący mógł tworzyć lub aktualizować obiekt z nowym polem relacyjnym, co zależy od uprawnień na poziomie klasy.

CVE-2026-0120
Krytyczne

W modemie występuje możliwe zapisanie danych poza przydzielonym obszarem pamięci z powodu błędnego sprawdzenia granic. Może to prowadzić do zdalnego wykonania kodu bez potrzeby dodatkowych uprawnień wykonawczych.

PoprzedniaStrona 146 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS