Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-36616
Średnie

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem układowym AC12G(EU)_V1_200909 zawiera wbudowane, twardo zakodowane dane uwierzytelniające do sterownika WiFi, w tym wspólny klucz RADIUS, klucz testowy WPS oraz domyślny klucz PSK. Te informacje są osadzone w binarnej wersji oprogramowania produkcyjnego.

CVE-2026-36615
Średnie

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 udostępnia nieudokumentowany punkt końcowy /agileconfigreset, który zwraca zawartość wewnętrznego bufora osobom atakującym, które nie są uwierzytelnione i znajdują się w sąsiedniej sieci.

CVE-2026-36613
Średnie

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 zwraca 128 bajtów niezinicjalizowanej zawartości wewnętrznego bufora podczas odbierania żądań HTTP POST do nieokreślonych ścieżek. To może ujawniać stan serwera nieautoryzowanym atakującym z sąsiedniej sieci.

CVE-2026-36612
Średnie

Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 domyślnie włącza WPS 2.0 z słabą polityką blokady (60-sekundowa blokada po 10 próbach).

CVE-2026-36610
Średnie

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 przesyła dane logowania do usługi DDNS w postaci niezaszyfrowanej przez HTTP, używając jedynie kodowania Base64. Oprogramowanie nie implementuje TLS, co umożliwia przechwycenie danych przez atakującego w trybie man-in-the-middle.

CVE-2026-36605
Średnie

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 jest podatny na atak typu denial of service poprzez niewielką liczbę spreparowanych, niekompletnych żądań HTTP, co prowadzi do trwałego awarii wymagającej fizycznego zresetowania zasilania.

CVE-2026-36604
Średnie

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 nie weryfikuje nagłówka HTTP Host, co umożliwia ataki DNS rebinding. Zewnętrzny atakujący może powiązać domenę z wewnętrznym adresem IP routera, co rozszerza podatność na CORS (Access-Control-Allow-Origin: *) na ataki pochodzące z internetu.

CVE-2026-36602
Średnie

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 ujawnia układ pamięci jądra poprzez akcję UPnP GetStatusInfo. Nieautoryzowany atakujący z sąsiedniej sieci może uzyskać surowy wskaźnik jądra MIPS KSEG0, co ujawnia układ pamięci jądra i ułatwia dalsze wykorzystanie podatności.

CVE-2026-36460
Średnie

Oprogramowanie Dovestones Softwares ADPhonebook w wersji przed 4.0.1.1 jest podatne na atak typu Cross Site Scripting. API /Admin/Save pozwala uwierzytelnionemu użytkownikowi admin na przechowywanie złośliwych ładunków JavaScript w różnych sekcjach konfiguracyjnych bez odpowiedniej walidacji wejścia lub kodowania wyjścia.

CVE-2026-20233
Średnie

Podatność w interfejsie użytkownika opartym na sieci Web Cisco Webex Meetings mogła umożliwić nieautoryzowanemu, zdalnemu atakującemu przeprowadzenie ataku typu cross-site scripting (XSS). Cisco naprawiło tę podatność w usłudze Webex Meetings, więc nie są wymagane żadne działania ze strony klientów.

CVE-2026-20175
Średnie

Podatność w Cisco Finesse umożliwia nieautoryzowanemu, zdalnemu atakującemu załadowanie dowolnych plików z zdalnych lokalizacji do aktywnej sesji użytkownika na podatnym urządzeniu, co może prowadzić do ataków opartych na przeglądarkach. Problem wynika z niewystarczającej walidacji danych wejściowych dostarczanych przez użytkownika w żądaniach HTTP.

CVE-2025-71314
Średnie

W jądrze Linuxa rozwiązano podatność związaną z funkcją panthor_gpu_flush_caches(), która mogła prowadzić do zablokowania całego subsystemu pamięci. W przypadku wystąpienia tego problemu, wprowadzono mechanizm resetu, aby umożliwić kontynuację operacji po zresetowaniu.

CVE-2025-71313
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z brakiem sprawdzenia wartości NULL po wywołaniu alloc_workqueue(). Może to prowadzić do dereferencji wskaźnika NULL, co skutkuje błędami w działaniu sterownika.

CVE-2019-25720
Średnie

Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają podatność na atak typu denial-of-service we wszystkich wersjach oprogramowania. Umożliwia to nieautoryzowanym atakującym zrestartowanie monitora poprzez wysyłanie źle sformatowanych pakietów sieciowych.

CVE-2026-42320
Średnie

GLPI to darmowe oprogramowanie do zarządzania aktywami i IT. W wersjach od 0.50 do przed 10.0.25 oraz 11.0.7 technik może odczytać dowolne pliki znajdujące się w katalogu GLPI_DOC_DIR.

CVE-2026-3276
Średnie

Funkcja unicodedata.normalize() może zużywać nadmierną moc CPU podczas przetwarzania specjalnie przygotowanego wejścia Unicode, które zawiera długie ciągi znaków łączących z naprzemiennymi wartościami klasy łączącej kanonicznej. Problem ten dotyczy wszystkich form normalizacji.

CVE-2022-31114
Średnie

Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.

CVE-2026-47325
Średnie

System zarządzania szkołą ProjectsAndPrograms wykorzystuje przewidywalne dane uwierzytelniające, generując hasła uczniów i nauczycieli wyłącznie na podstawie daty urodzenia użytkownika. Aplikacja nie wymaga zmiany hasła przy pierwszym logowaniu, co umożliwia atakującym łatwe odgadnięcie lub wyprowadzenie ważnych danych logowania.

CVE-2026-47324
Średnie

System zarządzania szkołą ProjectsAndPrograms jest podatny na przechowywane ataki Cross-Site Scripting (XSS) w wielu atrybutach obiektów uczniów i nauczycieli. Autoryzowany atakujący, taki jak nauczyciel lub administrator, może wstrzyknąć złośliwy kod JavaScript, który zostanie następnie wykonany w przeglądarkach innych użytkowników.

CVE-2026-44545
Średnie

Daphne w wersjach przed 4.2.2 nie przekazywał wartości maxFramePayloadSize ani maxMessagePayloadSize do WebSocketServerFactory Autobahna. Domyślne ustawienia Autobahna dla obu wartości wynoszą 0 (bez limitu), co pozwala nieautoryzowanemu zdalnemu atakującemu na wysyłanie dowolnie dużych wiadomości lub ramek WebSocket, co prowadzi do nadmiernego zużycia pamięci i odmowy usługi.

PoprzedniaStrona 184 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS