Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-25624
Średnie

W interfejsie użytkownika panelu administracyjnego Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność na atak typu cross-site scripting (XSS). Niezweryfikowane zmienne dostarczane przez użytkownika są odzwierciedlane w profilach administracyjnych, co umożliwia kontrolowanie zachowań przetwarzania ładunków wektorowych.

CVE-2026-25623
Średnie

Występuje podatność na wykonanie polecenia związanego z walidacją danych w pipeline zarządzania przeglądarką w Arista Edge Threat Management - Arista Next Generation Firewall (NGFW). Uwierzytelnieni administratorzy mogą wykorzystać tę lukę, aby uzyskać uprawnienia do wykonywania kodu skryptowego terminala.

CVE-2026-25622
Średnie

W Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność na wstrzykiwanie poleceń w niestandardowym handlerze portalu captive. Zalogowane konto administracyjne może wykorzystać tę lukę do wykonania dowolnych poleceń powłoki na platformie.

CVE-2026-25621
Średnie

W aplikacji raportowej Arista Edge Threat Management - Arista Next Generation Firewall (NGFW) występuje podatność związana z infrastrukturą, spowodowana niewłaściwą walidacją danych wejściowych. Problem ten dotyczy wyłącznie wersji 17.4.0; wcześniejsze wersje oprogramowania nie są narażone.

CVE-2026-25620
Średnie

W aplikacji Captive Portal frameworku zarządzania zagrożeniami Arista Edge występuje podatność na wstrzykiwanie poleceń związanych z zaszyfrowanym hasłem. Problem ten dotyczy wyłącznie wersji 17.4.0, wcześniejsze wersje oprogramowania nie są narażone.

CVE-2026-46390
Średnie

HAX CMS w wersjach od 2.0.0 do 26.0.0 ma wtyczkę gitlist, która jest dostępna dla nieautoryzowanych użytkowników, co umożliwia przeglądanie repozytoriów git oraz historii git bez uwierzytelnienia.

CVE-2026-2379
Średnie

Na dotkniętych platformach z obsługą sprzętowego IPSec działających na Arista EOS z włączonymi określonymi funkcjami IPsec, EOS może wykazywać nieoczekiwane zachowanie w określonych przypadkach. Fluktuacje interfejsów fizycznych oraz niektóre restarty agentów mogą powodować ponowne nawiązywanie tunelu IPsec z istniejącymi skojarzeniami bezpieczeństwa, co prowadzi do niezgodności numerów sekwencyjnych między punktami końcowymi tunelu.

CVE-2026-11341
Średnie

W urządzeniach D-Link DWR-M920 do wersji 1.1.50 zidentyfikowano lukę, która pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem IMEI_value w funkcji sub_412DA0 w pliku /boafrm/formIMEISetup.

CVE-2026-8714
Średnie

W komponentach serwera RTSP w TP-Link Tapo C520WS v2 występuje podatność na atak typu denial-of-service z powodu niewłaściwego przetwarzania syntaktycznie niepoprawnych danych wejściowych. Odpowiednio skonstruowane dane mogą spowodować błąd przetwarzania, co prowadzi do stanu, w którym serwis RTSP przestaje odpowiadać.

CVE-2026-7473
ŚrednieAktywnie exploitowaneEPSS 96%

Na podatnych platformach działających na Arista EOS, konfiguracja dekapsulacji tunelu, taka jak VXLAN, decap-groups lub interfejs tunelu GRE, może prowadzić do nieprawidłowego dekapsulowania i przesyłania innych nieoczekiwanych pakietów tunelowych. Problem wynika z braku weryfikacji typu protokołu tunelu przez przełącznik.

CVE-2026-48112
Średnie

7-Zip w wersjach od 9.18 do 26.00 zawiera podatność typu heap out-of-bounds read w parserze BSD SYMDEF. Funkcja ParseLibSymbols odczytuje dane poza przydzielonym obszarem pamięci, co może prowadzić do wycieku nieinicjalizowanych danych.

CVE-2026-48111
Średnie

7-Zip, program do archiwizacji plików, zawiera podatność typu off-by-one w funkcji ParseDepedencyExpression, która może prowadzić do odczytu danych poza granicami tablicy. Wersje od 9.21 do 26.00 są podatne na tę lukę, co może skutkować awarią lub ujawnieniem niewielkiej ilości informacji.

CVE-2026-48104
Średnie

7-Zip w wersjach od 9.18 do 26.00 zawiera podatność w obsłudze archiwów SquashFS, polegającą na odczycie niezinicjalizowanej pamięci w sterowniku archiwum. Problem ten występuje podczas przetwarzania obrazów z niewielką liczbą inode'ów, co prowadzi do potencjalnego ujawnienia informacji z pamięci.

CVE-2026-48103
Średnie

7-Zip w wersjach od 9.34 do 26.00 zawiera podatność typu off-by-one w obsłudze archiwów WIM, co prowadzi do odczytu poza granicami pamięci. Atakujący może kontrolować identyfikator bezpieczeństwa, co umożliwia wywołanie błędu w aplikacji.

CVE-2026-11339
ŚrednieEPSS 68%

Wykryto podatność w urządzeniu D-Link DWR-M920 do wersji 1.1.50. Manipulacja argumentem ussdValue w funkcji sub_41CF20 prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-11337
Średnie

W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /dashboard_page/forms/fetch.php. Manipulacja argumentem department_name prowadzi do ataku typu cross site scripting (XSS).

CVE-2025-5090
Średnie

CVX nie jest odporny na nieoczekiwane wiadomości z podłączonego przełącznika, co prowadzi do awarii agentów na CVX i niestabilności klastra CVX. Atakujący może wykorzystać to zachowanie do stworzenia scenariusza odmowy usługi (DoS).

CVE-2025-5089
Średnie

W klastrze CVX, przełącznik EOS połączony z serwerem CVX nie jest odporny na pewne źle sformułowane wiadomości otrzymywane z połączonego serwera CVX. Podobnie, serwer CVX nie jest odporny na pewne źle sformułowane wiadomości otrzymywane z połączonego przełącznika EOS, co prowadzi do awarii agenta Sysdb na urządzeniu EOS lub awarii agentów na serwerze CVX.

CVE-2026-48101
Średnie

7-Zip, program do archiwizacji plików, zawiera podatność na ujawnienie niezinicjalizowanej pamięci w parserze kapsuły UEFI (.scap) w wersjach od 9.21 do 26.00. Funkcja OpenCapsule alokuje bufor na stercie bez zerowej inicjalizacji, co może prowadzić do ujawnienia nieautoryzowanych danych.

CVE-2026-11336
Średnie

W systemie CollegeManagementSystem zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku dashboard_page/admin_page.php komponentu interfejsu administracyjnego. Manipulacja argumentem UserAuthData prowadzi do niewłaściwej autoryzacji.

PoprzedniaStrona 166 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS