Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-25481
Krytyczne

Langroid to framework do budowania aplikacji opartych na dużych modelach językowych. W wersjach przed 0.59.32 występuje luka, która pozwala na obejście zabezpieczeń wprowadzonych w CVE-2025-46724, umożliwiając wykonanie dowolnego kodu poprzez niewłaściwe przetwarzanie wejścia.

CVE-2026-25160
Krytyczne

Alist to program do zarządzania listą plików, który przed wersją 3.57.0 domyślnie wyłączał weryfikację certyfikatów TLS dla wszystkich komunikacji z driverami magazynów. To stwarzało podatność na ataki typu Man-in-the-Middle (MitM), umożliwiając odszyfrowanie, kradzież i manipulację danymi przesyłanymi podczas operacji magazynowych.

CVE-2026-25139
Krytyczne

RIOT to otwartoźródłowy system operacyjny dla mikrokontrolerów, zaprojektowany z myślą o urządzeniach IoT i innych urządzeniach wbudowanych. W wersji 2025.10 i wcześniejszych, występuje wiele przypadków odczytu poza zakresem, które pozwalają nieautoryzowanym użytkownikom na odczytanie sąsiednich lokalizacji pamięci lub awarię podatnego urządzenia działającego na stosie 6LoWPAN.

CVE-2025-64712
Krytyczne

Biblioteka unstructured dostarcza komponenty open-source do przetwarzania obrazów i dokumentów tekstowych. W wersjach przed 0.18.18 występowała podatność typu path traversal w funkcji partition_msg, która pozwalała atakującemu na zapis lub nadpisanie dowolnych plików w systemie plików podczas przetwarzania złośliwych plików MSG z załącznikami.

CVE-2025-5329
Krytyczne

Podatność CVE-2025-5329 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Delta Course Automation firmy Martcode Software Inc. Problem ten dotyczy wersji oprogramowania do 04022026.

CVE-2025-59818
Krytyczne

Ta podatność pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń w systemie operacyjnym, wykorzystując nazwę przesłanego pliku.

CVE-2026-1633
Krytyczne

Adapter Synectix LAN 232 TRIO 3-Port, służący do konwersji sygnału szeregowego na ethernet, udostępnia interfejs zarządzania siecią bez wymogu uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom modyfikację krytycznych ustawień urządzenia lub przywrócenie ustawień fabrycznych.

CVE-2026-1632
Krytyczne

Stacja sejsmiczna MOMA w wersji v2.4.2520 i wcześniejszych udostępnia interfejs zarządzania przez sieć bez wymogu uwierzytelnienia. Może to pozwolić nieautoryzowanemu atakującemu na modyfikację ustawień konfiguracyjnych, pozyskanie danych urządzenia lub zdalne zresetowanie urządzenia.

CVE-2026-25510
Krytyczne

CI4MS to szkielet CMS oparty na CodeIgniter 4, który oferuje gotową do produkcji, modułową architekturę z autoryzacją RBAC i wsparciem dla motywów. Przed wersją 0.28.5.0, uwierzytelniony użytkownik z uprawnieniami edytora plików mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wykorzystanie punktów końcowych do tworzenia i zapisywania plików, co pozwalało na przesyłanie i wykonywanie dowolnego kodu PHP na serwerze.

CVE-2026-25150
Krytyczne

W frameworku Qwik, przed wersją 1.19.0, występuje podatność na zanieczyszczenie prototypu w funkcji formToObj() w middleware @builder.io/qwik-city. Funkcja ta przetwarza nazwy pól formularzy z użyciem notacji kropkowej, ale nie sanitizuje niebezpiecznych nazw właściwości, co umożliwia atakującym zdalne zanieczyszczenie Object.prototype.

CVE-2020-37090
Krytyczne

School ERP Pro w wersji 1.0 zawiera podatność na przesyłanie plików, która pozwala studentom na przesyłanie dowolnych plików PHP do systemu wiadomości. Atakujący mogą przesyłać złośliwe skrypty PHP za pomocą funkcji załączania wiadomości, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2020-37082
Krytyczne

webERP w wersji 4.15.1 zawiera podatność na nieautoryzowany dostęp do plików, która pozwala zdalnym atakującym na pobieranie plików kopii zapasowej bazy danych bez uwierzytelnienia. Atakujący mogą bezpośrednio uzyskać dostęp do wygenerowanych plików kopii zapasowej w katalogu companies/weberp/ poprzez żądanie pliku Backup_[timestamp].sql.gz.

CVE-2020-37080
Krytyczne

webTareas w wersji 2.0.p8 zawiera podatność na usuwanie plików w komponencie administracyjnym print_layout.php, która pozwala uwierzytelnionym atakującym na usuwanie dowolnych plików. Atakujący mogą wykorzystać tę podatność, manipulując parametrem 'atttmp1', aby określić i usunąć pliki na serwerze.

CVE-2020-37075
Krytyczne

LanSend 3.2 zawiera podatność na przepełnienie bufora w funkcjonalności importu plików w kreatorze dodawania komputerów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy plik ładunku, aby wywołać nadpisanie strukturalnego obsługiwacza wyjątków (SEH) i wykonać kod powłoki podczas importowania komputerów z pliku.

CVE-2020-37074
Krytyczne

Remote Desktop Audit w wersji 2.3.0.157 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu podczas procesu importu plików w kreatorze dodawania komputerów. Atakujący mogą stworzyć złośliwy plik ładunku, aby wywołać obejście strukturalnego obsługiwacza wyjątków (SEH) i wykonać kod powłoki podczas importowania list komputerów.

CVE-2020-37071
Krytyczne

Wtyczka vCard w CraftCMS 3 w wersji 1.0.0 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu PHP poprzez spreparowany ładunek. Atakujący mogą wygenerować złośliwy, zserializowany ładunek, który wywołuje zdalne wykonanie kodu, wykorzystując funkcjonalność pobierania vCard wtyczki.

CVE-2020-37070
Krytyczne

CloudMe w wersji 1.11.2 zawiera podatność na przepełnienie bufora, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez spreparowane pakiety sieciowe. Atakujący mogą wykorzystać tę podatność, wysyłając specjalnie przygotowany ładunek do usługi CloudMe działającej na porcie 8888.

CVE-2020-37069
Krytyczne

Konica Minolta FTP Utility w wersji 1.0 zawiera podatność na przepełnienie bufora w komendzie NLST, co pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co prowadzi do awarii serwera FTP i potencjalnego wykonania nieautoryzowanego kodu.

CVE-2020-37068
Krytyczne

Konica Minolta FTP Utility 1.0 zawiera podatność na przepełnienie bufora w komendzie LIST, która pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co może spowodować awarię serwera FTP oraz potencjalne wykonanie nieautoryzowanego kodu.

CVE-2020-37067
Krytyczne

Serwer FTP Filetto w wersji 1.0 zawiera podatność na atak typu denial of service w przetwarzaniu komendy FEAT, co pozwala atakującym na zablokowanie usługi. Atakujący mogą wysłać zbyt dużą komendę FEAT o długości 11 008 bajtów, co prowadzi do przepełnienia bufora i zakończenia działania usługi FTP.

PoprzedniaStrona 179 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS