Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-2017
Krytyczne

Wykryto podatność w urządzeniu IP-COM W30AP do wersji 1.0.0.11(1340). Problem dotyczy funkcji R7WebsSecurityHandler w pliku /goform/wx3auth, gdzie manipulacja argumentem danych prowadzi do przepełnienia bufora na stosie. Atak może być przeprowadzony zdalnie.

CVE-2026-21643
Krytyczne

W Fortinet FortiClientEMS w wersji 7.4.4 występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Atakujący, który nie jest uwierzytelniony, może wykonać nieautoryzowany kod lub polecenia za pomocą specjalnie przygotowanych żądań HTTP.

CVE-2026-24300
Krytyczne

Podatność w Azure Front Door umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż powinien mieć.

CVE-2026-0106
Krytyczne

W funkcji vpu_mmap w vpu_ioctl występuje możliwość mapowania pamięci na dowolny adres z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.

CVE-2025-68723
Krytyczne

Serwer pocztowy Axigen przed wersją 10.5.57 zawiera wiele podatności typu Cross-Site Scripting (XSS) w interfejsie WebAdmin. Występują trzy przypadki: (1) parametr nazwy pliku dziennika na stronie Dziennika Usług Lokalnych, (2) zawartość pliku certyfikatu w funkcji Wyświetlanie użycia certyfikatów SSL oraz (3) parametr nazwy pliku certyfikatu w ustawieniach SSL dla słuchaczy WebMail.

CVE-2020-37138
Krytyczne

10-Strike Network Inventory Explorer w wersji 9.03 zawiera podatność na przepełnienie bufora w funkcjonalności importu plików, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy plik tekstowy z odpowiednio skonstruowanym ładunkiem, aby wywołać przepełnienie bufora oparte na stosie.

CVE-2020-37129
Krytyczne

Memu Play w wersji 7.1.3 zawiera podatność na niebezpieczne uprawnienia folderów, która pozwala użytkownikom o niskich uprawnieniach na modyfikację pliku wykonywalnego MemuService.exe. Atakujący mogą zastąpić ten plik złośliwym podczas ponownego uruchamiania systemu, uzyskując uprawnienia na poziomie SYSTEM.

CVE-2020-37126
Krytyczne

Free Desktop Clock 3.0 zawiera podatność na przepełnienie stosu w polu wejściowym nazwy strefy czasowej, co pozwala atakującym na nadpisanie rejestrów Structured Exception Handler (SEH). Wykorzystując złośliwe dane wejściowe w formacie Unicode, atakujący mogą wywołać naruszenie dostępu i potencjalnie wykonać dowolny kod.

CVE-2020-37125
Krytyczne

Edimax EW-7438RPn-v3 Mini w wersji 1.27 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez punkt końcowy /goform/mp. Atakujący mogą wykorzystać tę podatność, wysyłając odpowiednio skonstruowane żądania POST z ładunkami do wstrzykiwania poleceń.

CVE-2020-37124
Krytyczne

B64dec w wersji 1.1.2 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu poprzez nadpisanie Structured Exception Handler (SEH) za pomocą spreparowanego wejścia. Atakujący mogą wykorzystać technikę 'egg hunter' oraz starannie skonstruowany ładunek do wstrzyknięcia i wykonania złośliwego kodu podczas procesu dekodowania base64.

CVE-2020-37123
Krytyczne

Pinger 1.0 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wstrzykiwanie poleceń powłoki przez parametry ping i socket. Atakujący mogą wykorzystać niesanitowane dane wejściowe w pliku ping.php do zapisywania dowolnych plików PHP i wykonywania poleceń systemowych, dodając metaznaki powłoki.

CVE-2020-37120
Krytyczne

Rubo DICOM Viewer 2.0 zawiera podatność na przepełnienie bufora w polu wejściowym nazwy serwera DICOM, co pozwala atakującym na nadpisanie Structured Exception Handler (SEH). Atakujący mogą stworzyć złośliwy plik tekstowy z odpowiednio skonstruowanym ładunkiem, aby wykonać dowolny kod poprzez nadpisanie SEH i wywołanie zdalnego wykonania kodu.

CVE-2020-37119
Krytyczne

Nsauditor w wersjach 3.0.28 i 3.2.1.0 zawiera podatność na przepełnienie bufora w narzędziu DNS Lookup, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie pamięci. Atakujący mogą stworzyć złośliwy ładunek zapytania DNS, aby wywołać nadpisanie trzech bajtów i wykonać shellcode.

CVE-2026-23796
Krytyczne

Quick.Cart pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, co skutkuje tym, że wartość tego identyfikatora pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

CVE-2025-62616
Krytyczne

AutoGPT to platforma umożliwiająca użytkownikom tworzenie, wdrażanie i zarządzanie ciągłymi agentami sztucznej inteligencji. W wersji przed autogpt-platform-beta-v0.6.34 w funkcji SendDiscordFileBlock używana była biblioteka aiohttp.ClientSession().get do bezpośredniego dostępu do URL, jednak wejściowy URL nie był filtrowany, co prowadziło do podatności SSRF.

CVE-2025-62615
Krytyczne

AutoGPT to platforma umożliwiająca użytkownikom tworzenie, wdrażanie i zarządzanie ciągłymi agentami sztucznej inteligencji. W wersji przed autogpt-platform-beta-v0.6.34, w module RSSFeedBlock, używana była biblioteka urllib.request.urlopen do bezpośredniego dostępu do URL, co prowadziło do podatności SSRF z powodu braku filtrowania wejściowego URL.

CVE-2026-25539
Krytyczne

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.5, punkt końcowy /api/file/copyFile nie weryfikował parametru dest, co pozwalało uwierzytelnionym użytkownikom na zapisywanie plików w dowolnych lokalizacjach w systemie plików.

CVE-2026-25526
Krytyczne

JinJava to silnik szablonów oparty na Javie, który przed wersjami 2.7.6 i 2.8.3 był podatny na wykonanie dowolnego kodu Java poprzez obejście zabezpieczeń w ForTag. Umożliwia to instancjonowanie dowolnych klas Java oraz dostęp do plików, omijając wbudowane ograniczenia sandboxa.

CVE-2025-13375
Krytyczne

IBM Common Cryptographic Architecture (CCA) w wersjach 7.5.52 i 8.4.82 może pozwolić nieautoryzowanemu użytkownikowi na wykonywanie dowolnych poleceń z podwyższonymi uprawnieniami w systemie.

CVE-2026-25505
Krytyczne

Bambuddy to samodzielnie hostowany system archiwizacji i zarządzania wydrukami dla drukarek 3D Bambu Lab. W wersjach przed 0.1.7 w kodzie źródłowym znajdował się zakodowany klucz tajny używany do podpisywania JWT, a wiele tras ManyAPI nie sprawdzało uwierzytelnienia. Problem ten został naprawiony w wersji 0.1.7.

PoprzedniaStrona 178 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS