Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-24838
Krytyczne

DNN (wcześniej DotNetNuke) to otwartoźródłowa platforma zarządzania treścią w ekosystemie Microsoft. W wersjach przed 9.13.10 i 10.2.0 tytuł modułu wspierał richtext, co mogło prowadzić do wykonania skryptów w określonych scenariuszach. Wersje 9.13.10 i 10.2.0 zawierają poprawkę dla tego problemu.

CVE-2026-24785
Krytyczne

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

CVE-2026-23830
Krytyczne

SandboxJS to biblioteka do sandboxingu JavaScript. Wersje przed 0.8.26 mają podatność na ucieczkę z sandboxa z powodu braku izolacji `AsyncFunction` w `SandboxFunction`, co pozwala na nieautoryzowany dostęp do globalnych funkcji.

CVE-2026-24740
Krytyczne

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 9.0.3 występowała luka, która pozwalała użytkownikowi z ograniczeniami opartymi na etykietach uzyskać interaktywną powłokę root w kontenerach spoza zakresu, celując bezpośrednio w ich identyfikatory kontenerów.

CVE-2026-24736
Krytyczne

Squidex to otwartoźródłowy system zarządzania treścią, który w wersjach do 7.21.0 pozwala użytkownikom definiować 'Webhooks' w silniku reguł. Parametr url w konfiguracji webhooka nie weryfikuje ani nie ogranicza adresów IP, co umożliwia wykorzystanie lokalnych adresów, takich jak 127.0.0.1. W momencie wyzwolenia reguły, serwer backendowy wykonuje żądanie HTTP do dostarczonego przez użytkownika URL, co prowadzi do ujawnienia pełnej odpowiedzi HTTP w logach wykonania reguły.

CVE-2025-21589
Krytyczne

Podatność typu Bypass uwierzytelnienia w routerze Session Smart firmy Juniper Networks pozwala atakującemu z sieci na ominięcie uwierzytelnienia i przejęcie kontroli administracyjnej nad urządzeniem. Dotyczy to różnych wersji routerów i conductorów Session Smart oraz routerów zarządzanych WAN Assurance.

CVE-2026-24858
KrytyczneAktywnie exploitowaneEPSS 90%

W Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy oraz FortiWeb występuje podatność na obejście uwierzytelnienia, która pozwala atakującemu z kontem FortiCloud i zarejestrowanym urządzeniem na zalogowanie się do innych urządzeń zarejestrowanych na innych kontach, jeśli na tych urządzeniach włączono uwierzytelnianie SSO FortiCloud.

CVE-2026-22039
Krytyczne

Kyverno, silnik polityk dla zespołów inżynieryjnych platform chmurowych, ma krytyczną lukę w autoryzacji w wersjach przed 1.16.3 i 1.15.3. Umożliwia ona użytkownikom z odpowiednimi uprawnieniami do tworzenia polityk w przestrzeni nazw na wykonywanie żądań API Kubernetes z tożsamością kontrolera przyjęć Kyverno, co narusza izolację przestrzeni nazw.

CVE-2025-69564
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExAddNewUser.php. Wrażliwe parametry to Name, Address, email, UserName, Password, confirm_password, Role, Branch oraz Activate.

CVE-2025-69563
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExLogin.php poprzez parametr Password.

CVE-2025-69562
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /insertmessage.php poprzez parametr userid.

CVE-2025-69559
Krytyczne

System księgarni komputerowej code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku admin_add.php. Umożliwia to nieautoryzowanym użytkownikom przesyłanie złośliwych plików na serwer.

CVE-2026-24874
Krytyczne

Podatność typu 'Type Confusion' w xray-monolith umożliwia dostęp do zasobów przy użyciu niekompatybilnego typu. Problem ten dotyczy wersji xray-monolith przed 30 grudnia 2025 roku.

CVE-2026-24872
Krytyczne

Podatność CVE-2026-24872 dotyczy niewłaściwej arytmetyki wskaźników w projekcie ProjectSkyfire w wersji SkyFire_548 przed 5.4.8-stable5. Może to prowadzić do nieprzewidzianych zachowań aplikacji.

CVE-2026-24832
Krytyczne

W podatności CVE-2026-24832 występuje błąd zapisu poza granicami w ixray-team ixray-1.6-stcop, który dotyczy wersji przed 1.3. Może to prowadzić do nieautoryzowanego dostępu do pamięci.

CVE-2025-69565
Krytyczne

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku /ExAddProduct.php.

CVE-2025-68670
Krytyczne

xrdp to otwartoźródłowy serwer RDP. W wersjach przed 0.10.5 występuje podatność na przepełnienie bufora na stosie, wynikająca z niewłaściwego sprawdzania granic podczas przetwarzania informacji o domenie użytkownika. W przypadku wykorzystania tej podatności, zdalni atakujący mogą wykonać dowolny kod na docelowym systemie.

CVE-2021-47901
Krytyczne

Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.

CVE-2021-47900
Krytyczne

Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.

CVE-2020-36948
Krytyczne

VestaCP w wersji 0.9.8-26 zawiera podatność na token sesji w module LoginAs, która pozwala zdalnym atakującym na manipulację tokenami uwierzytelniającymi. Atakujący mogą wykorzystać niewystarczającą walidację tokenów do uzyskania dostępu do kont użytkowników i wykonywania nieautoryzowanych żądań logowania bez odpowiednich uprawnień administracyjnych.

PoprzedniaStrona 184 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS