Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-26068
Krytyczne

emp3r0r to narzędzie C2 skoncentrowane na stealth, zaprojektowane przez użytkowników Linuksa dla środowisk Linuksowych. W wersjach przed 3.21.1, nieufne metadane agenta (Transport, Hostname) są akceptowane podczas rejestracji i później interpolowane w ciągi poleceń tmux wykonywane przez /bin/sh -c, co umożliwia wstrzyknięcie poleceń i zdalne wykonanie kodu na hoście operatora.

CVE-2026-1358
Krytyczne

Wersje Airleader Master 6.381 i wcześniejsze umożliwiają przesyłanie plików bez ograniczeń na wielu stronach internetowych działających z maksymalnymi uprawnieniami. Może to pozwolić nieautoryzowanemu użytkownikowi na potencjalne uzyskanie zdalnego wykonania kodu na serwerze.

CVE-2026-26011
Krytyczne

W wersjach 1.3.11 i wcześniejszych w frameworku i systemie nawigacji ROS 2 (navigation2) występuje krytyczna podatność na zapis poza granicami pamięci w logice klastrowania filtru cząstek Nav2 AMCL. Atakujący może wykorzystać specjalnie skonstruowaną wiadomość geometry_msgs/PoseWithCovarianceStamped, aby wywołać zapis z negatywnym indeksem w pamięci sterty.

CVE-2026-25996
Krytyczne

Inspektor Gadget to zestaw narzędzi i framework do zbierania danych oraz inspekcji systemu w klastrach Kubernetes i hostach Linux przy użyciu eBPF. Pola tekstowe z wydarzeń eBPF w trybie wyjścia kolumnowego są renderowane w terminalu bez jakiejkolwiek sanitizacji znaków kontrolnych lub sekwencji ucieczki ANSI.

CVE-2026-25227
Krytyczne

Podatność w authentik, otwartoźródłowym dostawcy tożsamości, pozwala użytkownikom z odpowiednimi uprawnieniami na wykonanie dowolnego kodu w kontenerze serwera authentik poprzez punkt końcowy testowy. Dotyczy to wersji od 2021.3.1 do przed 2025.8.6, 2025.10.4 i 2025.12.4.

CVE-2026-24895
Krytyczne

FrankenPHP to nowoczesny serwer aplikacji dla PHP. W wersjach przed 1.11.2 logika dzielenia ścieżki CGI niewłaściwie obsługuje znaki Unicode podczas konwersji wielkości liter, co może prowadzić do wykonania niewłaściwego pliku.

CVE-2025-70314
Krytyczne

webfsd w wersji 1.21 jest podatny na przepełnienie bufora w wyniku specjalnie przygotowanego żądania. Problem ten wynika z nieprawidłowego przetwarzania zmiennej filename.

CVE-2026-26219
Krytyczne

Nowa aplikacja newbee-mall przechowuje i weryfikuje hasła użytkowników przy użyciu nieosolonego algorytmu haszującego MD5. Implementacja nie uwzględnia soli per użytkownika ani kontroli kosztów obliczeniowych, co umożliwia atakującym szybkie odzyskiwanie haseł w postaci tekstu jawnego w przypadku uzyskania dostępu do haszy haseł.

CVE-2026-26218
Krytyczne

Nowa aplikacja newbee-mall zawiera w swoim skrypcie inicjalizacji bazy danych wstępnie skonfigurowane konta administratorów z przewidywalnym domyślnym hasłem. Wdrożenia, które inicjalizują lub resetują bazę danych przy użyciu dostarczonego schematu i nie zmieniają domyślnych danych logowania administratora, mogą umożliwić nieautoryzowanym atakującym zalogowanie się jako administrator.

CVE-2025-70981
Krytyczne

CordysCRM w wersji 1.4.1 jest podatny na atak typu SQL Injection w interfejsie zapytania listy pracowników (/user/list) poprzez parametr departmentIds.

CVE-2026-26216
Krytyczne

Wersje Crawl4AI przed 0.8.0 zawierają podatność na zdalne wykonanie kodu w interfejsie API Dockera. Punkt końcowy /crawl akceptuje parametr hooks zawierający kod Pythona, który jest wykonywany za pomocą exec().

CVE-2025-69634
Krytyczne

Podatność typu Cross Site Request Forgery w Dolibarr ERP & CRM w wersji 22.0.9 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez pole notatek w perms.php. Istnieją jednak kontrowersje dotyczące tej podatności, ponieważ niektórzy twierdzą, że wykorzystanie jej jest możliwe tylko wtedy, gdy nieuprzywilejowany użytkownik zna token użytkownika z uprawnieniami administratora.

CVE-2025-14014
Krytyczne

Podatność CVE-2025-14014 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w oprogramowaniu Smart Panel firmy NTN Information Processing Services. Problem ten pozwala na dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL).

CVE-2025-10969
Krytyczne

W podatności CVE-2025-10969 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w pakiecie E-Commerce firmy Farktor Software. Problem ten dotyczy wersji pakietu E-Commerce do dnia 27 listopada 2025 roku.

CVE-2025-15573
Krytyczne

Zainfekowane urządzenia nie weryfikują certyfikatu serwera podczas łączenia z serwerem SolaX Cloud MQTTS hostowanym w Alibaba Cloud. To umożliwia atakującym w pozycji man-in-the-middle podszywanie się pod prawdziwy serwer MQTT i wydawanie dowolnych poleceń do urządzeń.

CVE-2025-14892
Krytyczne

Wtyczka Prime Listing Manager dla WordPressa w wersji do 1.1 umożliwia atakującemu uzyskanie dostępu administracyjnego bez posiadania jakiegokolwiek konta na docelowej stronie oraz wykonywanie nieautoryzowanych działań z powodu wbudowanego sekretu.

CVE-2026-1729
Krytyczne

Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.12. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed uwierzytelnieniem go za pomocą funkcji 'sb_login_user_with_otp_fun'.

CVE-2026-20677
Krytyczne

Wystąpił problem z warunkiem wyścigu, który został rozwiązany poprzez poprawione zarządzanie linkami symbolicznymi. Problem ten został naprawiony w wersjach iOS 18.7.5, iPadOS 18.7.5, iOS 26.3, iPadOS 26.3, macOS Sonoma 14.8.4, macOS Tahoe 26.3 oraz visionOS 26.3.

CVE-2025-67135
Krytyczne

Słaba zabezpieczenia w pilocie PF-50 1.2 systemu alarmowego PGST PG107 w wersji 1.25.05.hf umożliwiają atakującym przeprowadzenie ataku powtórkowego kodu, co prowadzi do kompromitacji kontroli dostępu.

CVE-2026-26021
Krytyczne

W pakiecie npm set-in (w wersjach >=2.0.1, < 2.0.5) występuje podatność na zanieczyszczenie prototypu. Mimo wcześniejszej poprawki, która miała na celu ograniczenie tego typu ataków, nadal istnieje możliwość zanieczyszczenia Object.prototype za pomocą odpowiednio skonstruowanego wejścia.

PoprzedniaStrona 174 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS