Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-20079
Krytyczne

Podatność w interfejsie webowym oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na ominięcie uwierzytelnienia i wykonanie plików skryptowych na podatnym urządzeniu, co umożliwia uzyskanie dostępu root do systemu operacyjnego.

CVE-2025-70220
Krytyczne

W podatności CVE-2025-70220 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formAutoDetecWAN_wizard4.

CVE-2025-70218
Krytyczne

W podatności CVE-2025-70218 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez wysłanie żądania POST do komponentu goform/formAdvFirewall.

CVE-2026-28783
Krytyczne

Craft to system zarządzania treścią (CMS), który przed wersjami 5.9.0-beta.1 i 4.17.0-beta.1 implementował listę blokującą, aby zapobiec wywoływaniu potencjalnie niebezpiecznych funkcji PHP przez funkcje strzałkowe Twig. Wiele funkcji PHP nie zostało uwzględnionych na liście blokującej, co może umożliwić atakującym wykonanie różnych typów ładunków, w tym RCE, odczytów plików, SSRF i SSTI.

CVE-2026-28697
Krytyczne

Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.

CVE-2025-69969
Krytyczne

Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.

CVE-2025-66944
Krytyczne

Podatność typu SQL Injection w wersji 1.0.7 i wcześniejszych w bazie danych vran-dev umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr zapytania w punkcie końcowym API wyszukiwania.

CVE-2025-66678
Krytyczne

Problem w komponencie HwRwDrv.sys narzędzia Nil Hardware Editor Hardware Read & Write Utility w wersji 1.25.11.26 i wcześniejszych umożliwia atakującym wykonywanie dowolnych operacji odczytu i zapisu za pomocą spreparowanego żądania.

CVE-2026-26478
Krytyczne

W urządzeniach Mobvoi Tichome Mini (modele 012-18853 i 027-58389) występuje podatność na wstrzykiwanie poleceń powłoki, która umożliwia zdalnym atakującym wysyłanie specjalnie przygotowanych datagramów UDP i wykonywanie dowolnego kodu powłoki jako konto root.

CVE-2025-59786
Krytyczne

Wersja 3.4.2 i wcześniejsze 2N Access Commander niewłaściwie unieważniają tokeny sesji, co pozwala na utrzymanie aktywnych wielu ciasteczek sesyjnych po wylogowaniu z aplikacji webowej.

CVE-2026-27446
KrytyczneEPSS 95%

Brak uwierzytelnienia dla krytycznej funkcji (CWE-306) w Apache Artemis i Apache ActiveMQ Artemis. Nieuwierzytelniony zdalny atakujący może użyć protokołu Core, aby zmusić docelowego brokera do ustanowienia wychodzącego połączenia federacyjnego Core z kontrolowanym przez atakującego złośliwym brokerem. Może to potencjalnie prowadzić do wstrzyknięcia wiadomości do dowolnej kolejki i/lub wycieku wiadomości z dowolnej kolejki za pośrednictwem złośliwego brokera.

CVE-2026-27441
Krytyczne

SEPPmail Secure Email Gateway przed wersją 15.0.1 niewystarczająco neutralizuje hasło szyfrowania PDF, co umożliwia wykonanie poleceń systemowych.

CVE-2026-29119
Krytyczne

Odbiornik satelitarny SFX Series SuperFlex (SFX2100) firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane i niebezpieczne dane logowania dla konta `admin`. Zdalny, nieautoryzowany atakujący może wykorzystać te nieudokumentowane dane logowania do bezpośredniego dostępu do systemu satelitarnego za pośrednictwem usługi Telnet.

CVE-2026-28778
Krytyczne

Odbiornik satelitarny SFX Series SuperFlex firmy International Datacasting Corporation (IDC) zawiera nieudokumentowane, twardo zakodowane/niebezpieczne dane logowania dla konta użytkownika `xd`. Zdalny, nieautoryzowany atakujący może zalogować się przez FTP, wykorzystując te dane.

CVE-2026-28777
Krytyczne

Odbiornik satelitarny SFX2100 firmy International Datacasting Corporation (IDC) posiada trywialne hasło dla konta `user` (usr). Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu SSH do systemu.

CVE-2026-28776
Krytyczne

Odbiornik satelitarny SuperFlex serii SFX firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane dane logowania dla konta `monitor`. Zdalny, nieautoryzowany atakujący może wykorzystać te proste, nieudokumentowane dane logowania do uzyskania dostępu do systemu przez SSH.

CVE-2026-28775
Krytyczne

W usłudze SNMP w odbiorniku satelitarnym SFX Series SuperFlex firmy International Datacasting Corporation (IDC) występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Domyślnie, usługa ta niebezpiecznie udostępnia `private` ciąg społeczności SNMP z dostępem do odczytu i zapisu, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2026-3266
Krytyczne

W podatności CVE-2026-3266 w OpenText™ Filr występuje brak autoryzacji, co umożliwia obejście uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom uzyskanie tokena XSRF i wykonywanie zdalnych wywołań procedur (RPC) za pomocą starannie przygotowanych programów.

CVE-2026-28289
Krytyczne

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach FreeScout 1.8.206 i wcześniejszych występuje luka umożliwiająca zdalne wykonanie kodu (RCE) poprzez przesłanie złośliwego pliku .htaccess z prefiksem znaku zerowej szerokości, co omija zabezpieczenia.

CVE-2026-27971
Krytyczne

Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

PoprzedniaStrona 155 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS