Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-9154
Wysokie

Podatność Arbitrary File Write w pluginie Sed dla Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym zapisanie kontrolowanej przez atakującego treści do dowolnych ścieżek plików za pomocą parametru expression.

CVE-2026-9153
Średnie

Podatność Arbitrary File Read w wtyczce Sed Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym odczyt dowolnych plików za pomocą parametru expression z powodu niewystarczającej walidacji danych wejściowych.

CVE-2026-57589
Wysokie

W jądrze OpenBSD do wersji 7.9 w pliku sys/kern/sysv_sem.c występuje podatność use-after-free, która umożliwia lokalną eskalację uprawnień do poziomu roota. Problem pojawia się po przełączeniu kontekstu po wywołaniu tsleep w funkcji sys_semget().

CVE-2026-9787
WysokieEPSS 69%

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie poleceń w procesie NVBULogDaemon. Problem wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym, co pozwala atakującemu na wykonanie kodu w kontekście SYSTEM. Wymagane jest uwierzytelnienie, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9786
Wysokie

Podatność SQL Injection w komponencie NVBUDashboard oprogramowania Quest NetVault Backup umożliwia zdalne wykonanie kodu. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL, co pozwala atakującemu na wykonanie kodu w kontekście konta NETWORK SERVICE. Wymagane jest uwierzytelnienie, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9785
Wysokie

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBULibrarySlot. Atak wymaga uwierzytelnienia, ale mechanizm uwierzytelniania może zostać ominięty. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL.

CVE-2026-9784
Wysokie

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBULibraryPort. Atak wymaga uwierzytelnienia, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9783
Wysokie

Podatność SQL Injection w komponencie NVBURemovableMedia oprogramowania Quest NetVault Backup umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL, a istniejący mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9782
Wysokie

Podatność SQL Injection w Quest NetVault Backup umożliwia zdalne wykonanie kodu. Luka występuje w komponencie NVBUDeviceDrive podczas przetwarzania komunikatów JSON-RPC, gdzie brak walidacji danych użytkownika prowadzi do wstrzyknięcia SQL. Atak wymaga uwierzytelnienia, ale mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9781
Wysokie

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBURASDevice. Atak wymaga uwierzytelnienia, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

CVE-2026-9780
Wysokie

Podatność w produkcie Quest NetVault Backup w komponencie addclient3 umożliwia atakującemu ominięcie uwierzytelniania poprzez wstrzyknięcie skryptu. Wymaga interakcji użytkownika, który musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-8663
Średnie

Wtyczka RPM dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia OS poprzez parametry repo, key lub name z powodu niedostatecznego oczyszczania danych wejściowych.

CVE-2026-8659
Średnie

Wtyczka SQLmap dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z uwierzytelnieniem może wykonać dowolne polecenia poprzez parametry api_host lub api_port podczas konfiguracji połączenia z powodu niewystarczającej walidacji wejścia.

CVE-2026-7570
Wysokie

Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBUDashboard. Atak wymaga uwierzytelnienia, ale mechanizm uwierzytelniania może zostać ominięty. Problem wynika z braku walidacji danych użytkownika przed użyciem w zapytaniach SQL.

CVE-2026-7569
Wysokie

Podatność w Quest NetVault Backup umożliwia atakującemu ominięcie uwierzytelniania poprzez skryptowanie między witrynami (XSS) w komponencie viewclient. Wymaga interakcji użytkownika, który musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.

CVE-2026-40079
KrytyczneEPSS 62%

Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na wstrzykiwanie poleceń w funkcji escape_command() w pliku lib/rrd.php, która nie wykonuje żadnego oczyszczania danych, zwracając niezmienione polecenie. Funkcja rrdtool_function_graph() przekazuje zbudowane polecenie do shell_exec() przez tę nieskuteczną funkcję, a ryzyko polega na tym, że wartości text_format z szablonów wykresów (mogące zawierać podstawienia zmiennych hosta) trafiają do shell_exec() bez odpowiedniego escapowania.

CVE-2026-39951
Wysokie

Cacti to otwartoźródłowe narzędzie do zarządzania wydajnością i awariami. W wersjach 1.2.30 i wcześniejszych odkryto podatność na wstrzykiwanie SQL (SQL Injection) w funkcji Reports, poprzez parametr graph_name_regexp. Luka została załatana w wersji 1.2.31.

CVE-2025-60473
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji gf_filter_in_parent_chain. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku.

CVE-2025-60466
Średnie

W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_get_packet w pliku filter_core/filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby doprowadzić do awarii aplikacji (odmowa usługi).

CVE-2026-39955
Krytyczne

Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na wstrzykiwanie SQL przed uwierzytelnieniem, wykorzystującą niesprawdzony filtr FILTER_VALIDATE_REGEXP w pliku graph_view.php. Problem został naprawiony w wersji 1.2.31.

PoprzedniaStrona 187 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS