Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-10970
Krytyczne

W podatności CVE-2025-10970 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w oprogramowaniu Talentics firmy Kolay Software Inc. Problem ten dotyczy wersji Talentics do 20022026.

CVE-2026-26988
Krytyczne

LibreNMS to narzędzie do monitorowania sieci oparte na PHP/MySQL/SNMP, które w wersjach 25.12.0 i poniżej zawiera podatność na wstrzykiwanie SQL w punkcie końcowym ajax_table.php. Aplikacja nieprawidłowo sanitizuje lub parametryzuje dane wejściowe użytkownika podczas przetwarzania wyszukiwań adresów IPv6, co umożliwia atakującemu wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-26980
Krytyczne

Ghost to system zarządzania treścią oparty na Node.js. Wersje od 3.24.0 do 6.19.0 pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych odczytów z bazy danych.

CVE-2026-26974
Krytyczne

Slyde to program do tworzenia animowanych prezentacji z XML. W wersjach 0.0.4 i poniżej, Node.js automatycznie importuje pliki **/*.plugin.{js,mjs}, co pozwala na wykonanie dowolnego kodu przez złośliwe pakiety zawierające plik .plugin.js podczas instalacji lub użycia.

CVE-2025-30416
Krytyczne

Podatność CVE-2025-30416 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu braku autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.

CVE-2025-30412
Krytyczne

Podatność CVE-2025-30412 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu niewłaściwej autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.

CVE-2025-30411
Krytyczne

Podatność CVE-2025-30411 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu niewłaściwej autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.

CVE-2025-30410
Krytyczne

Brak autoryzacji w produktach Acronis Cyber Protect Cloud Agent oraz Acronis Cyber Protect 15 i 16 umożliwia ujawnienie i manipulację wrażliwymi danymi. Dotyczy to wersji przed określonymi buildami dla systemów Linux, macOS i Windows.

CVE-2026-27002
Krytyczne

OpenClaw to osobisty asystent AI, który przed wersją 2026.2.15 miał problem z wstrzykiwaniem konfiguracji w narzędziu Docker, co mogło pozwolić na zastosowanie niebezpiecznych opcji Docker, umożliwiając ucieczkę z kontenera lub dostęp do danych hosta. W wersji 2026.2.15 wprowadzono blokady niebezpiecznych ustawień Docker w sandboxie oraz walidację schematu konfiguracji.

CVE-2026-27476
Krytyczne

RustFly w wersji 2.0.0 zawiera podatność na wstrzykiwanie poleceń w swoim zdalnym mechanizmie kontroli UI, który akceptuje instrukcje zakodowane w formacie hex przez port UDP 5005 bez odpowiedniej sanitizacji. Atakujący mogą wysyłać spreparowane ładunki hex, które zawierają polecenia systemowe do wykonania dowolnych operacji na docelowym systemie.

CVE-2025-67305
Krytyczne

W RUCKUS Network Director (RND) w wersjach poniżej 4.5.0.56, urządzenie OVA zawiera hardkodowane klucze SSH dla użytkownika postgres. Klucze te są identyczne we wszystkich wdrożeniach, co umożliwia atakującemu z dostępem do sieci uwierzytelnienie się przez SSH bez hasła.

CVE-2025-67304
Krytyczne

W Ruckus Network Director (RND) w wersjach poniżej 4.5.0.54, urządzenie OVA zawiera zakodowane na stałe dane uwierzytelniające dla użytkownika bazy danych PostgreSQL. W domyślnej konfiguracji usługa PostgreSQL jest dostępna w sieci na porcie TCP 5432.

CVE-2026-26339
Krytyczne

Usługa Transformacji Hyland Alfresco pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez podatność na wstrzykiwanie argumentów, która występuje w funkcjonalności przetwarzania dokumentów.

CVE-2026-26338
Krytyczne

Usługa transformacji Hyland Alfresco umożliwia nieautoryzowanym atakującym przeprowadzenie ataku typu server-side request forgery (SSRF) za pomocą funkcjonalności przetwarzania dokumentów.

CVE-2026-26030
Krytyczne

SDK Semantic Kernel firmy Microsoft, w wersjach przed 1.39.4, ma podatność na zdalne wykonanie kodu w funkcjonalności filtra `InMemoryVectorStore`. Problem został naprawiony w wersji `python-1.39.4`.

CVE-2026-24834
Krytyczne

Podatność w Kata Containers przed wersją 3.27.0 umożliwia użytkownikowi kontenera modyfikację systemu plików gościnnej maszyny wirtualnej (Micro VM) przy użyciu Cloud Hypervisor, co prowadzi do wykonania dowolnego kodu jako root w tej maszynie wirtualnej. Problem nie wpływa na bezpieczeństwo hosta ani innych kontenerów/maszyn wirtualnych na tym samym hoście, z wyjątkiem architektury arm64 z QEMU, gdzie zapis gościa może dotrzeć do pliku obrazu.

CVE-2025-71243
Krytyczne

Wtyczka 'Saisies pour formulaire' (Saisies) dla SPIP w wersjach od 5.4.0 do 5.11.0 zawiera krytyczną podatność na zdalne wykonanie kodu (RCE). Atakujący może wykorzystać tę podatność do wykonania dowolnego kodu na serwerze.

CVE-2025-55853
Krytyczne

SoftVision webPDF w wersjach przed 10.0.2 jest podatny na atak typu Server-Side Request Forgery (SSRF). Funkcja konwersji PDF nie sprawdza, czy w przesyłanych plikach żądane są zasoby wewnętrzne lub zewnętrzne, co umożliwia wykorzystanie protokołów takich jak http:// i file:///.

CVE-2025-9953
Krytyczne

Podatność w oprogramowaniu Databank Accreditation Software pozwala na obejście autoryzacji poprzez wstrzyknięcie SQL w klucz główny kontrolowany przez użytkownika.

CVE-2025-8350
Krytyczne

W BiEticaret CMS występuje podatność na obejście uwierzytelnienia oraz dzielenie odpowiedzi HTTP z powodu braku uwierzytelnienia dla krytycznych funkcji. Problem dotyczy wersji od 2.1.13 do 19022026.

PoprzedniaStrona 170 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS