Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-24042
Krytyczne

Appsmith to platforma do budowy paneli administracyjnych, narzędzi wewnętrznych i pulpitów. W wersjach 1.94 i poniżej, aplikacje dostępne publicznie pozwalają nieautoryzowanym użytkownikom na wykonywanie działań w trybie edycji poprzez wysłanie viewMode=false (lub pominięcie go) do POST /api/v1/actions/execute.

CVE-2026-24002
Krytyczne

Grist to oprogramowanie arkusza kalkulacyjnego, które używa Pythona jako języka formuł. Istnieje luka, która pozwala na uruchamianie złośliwych dokumentów w piaskownicy, co może prowadzić do uruchamiania dowolnych procesów na serwerze Grist, jeśli użytkownik ustawi `GRIST_SANDBOX_FLAVOR` na `pyodide`.

CVE-2026-23966
Krytyczne

W bibliotece sm-crypto, która implementuje chińskie algorytmy kryptograficzne SM2, SM3 i SM4, występuje podatność na odzyskanie klucza prywatnego w logice deszyfrowania SM2 przed wersją 0.3.14. Atakujący może odzyskać klucz prywatny po wielokrotnym interakcji z interfejsem deszyfrowania SM2.

CVE-2026-23958
Krytyczne

Dataease to narzędzie do analizy wizualizacji danych typu open source. Przed wersją 2.10.19, DataEase używał hasha MD5 hasła użytkownika jako sekretu do podpisywania JWT, co umożliwiało atakującym przeprowadzenie ataku brute-force na hasło administratora poprzez wykorzystanie niemonitorowanych punktów końcowych API weryfikujących tokeny JWT.

CVE-2026-23873
Krytyczne

Hustoj to otwartoźródłowy system oceny online, który jest podatny na atak CSV Injection (wstrzykiwanie formuł) poprzez funkcjonalność eksportu rankingu konkursu. Aplikacja nie sanitizuje danych wejściowych użytkownika w polu 'Nickname' przed eksportem do pliku .xls, co pozwala na wykonanie formuły Excel przez złośliwego użytkownika.

CVE-2026-23524
Krytyczne

Laravel Reverb to backend komunikacji WebSocket w czasie rzeczywistym dla aplikacji Laravel. W wersjach 1.6.3 i starszych, Reverb przekazuje dane z kanału Redis bez ograniczeń dotyczących klas, które mogą być zainicjowane, co naraża użytkowników na zdalne wykonanie kodu.

CVE-2026-23518
Krytyczne

Fleet to oprogramowanie do zarządzania urządzeniami typu open source. W wersjach wcześniejszych niż 4.78.3, 4.77.1, 4.76.2, 4.75.2 i 4.53.3 występuje podatność w procesie rejestracji MDM dla systemu Windows, która pozwala atakującemu na przesyłanie fałszywych tokenów uwierzytelniających, które nie są odpowiednio weryfikowane.

CVE-2021-47875
Krytyczne

GeoGebra CAS Calculator w wersji 6.0.631.0 zawiera podatność na odmowę usługi, która pozwala atakującym na zablokowanie aplikacji poprzez wygenerowanie dużego przepełnienia bufora. Atakujący mogą stworzyć ładunek z 8000 powtórzonych znaków i wkleić go w pole wejściowe kalkulatora, co prowadzi do awarii aplikacji.

CVE-2021-47854
Krytyczne

Wersja 45723 DD-WRT zawiera podatność na przepełnienie bufora w usłudze odkrywania sieci UPNP, która pozwala zdalnym atakującym na potencjalne wykonanie dowolnego kodu. Atakujący mogą wysyłać spreparowane pakiety M-SEARCH z nadmiernie dużymi ładunkami UUID, aby wywołać warunki przepełnienia bufora na docelowym urządzeniu.

CVE-2021-47851
Krytyczne

Mini Mouse w wersji 9.2.0 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń przez nieautoryzowany punkt końcowy HTTP. Atakujący mogą wykorzystać punkt końcowy /op=command do pobierania i wykonywania ładunków, wysyłając spreparowane żądania JSON z złośliwymi poleceniami skryptów.

CVE-2021-47748
Krytyczne

Hasura GraphQL w wersji 1.3.3 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym na wykonywanie dowolnych poleceń powłoki poprzez manipulację zapytaniami SQL. Atakujący mogą wstrzykiwać polecenia do punktu końcowego run_sql, tworząc złośliwe zapytania GraphQL, które wykonują polecenia systemowe za pomocą funkcjonalności COPY FROM PROGRAM w PostgreSQL.

CVE-2025-15521
Krytyczne

Wtyczka Academy LMS dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 3.5.0 włącznie. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła oraz polegania wyłącznie na publicznie dostępnym nonce do autoryzacji.

CVE-2026-21962
Krytyczne

Podatność w Oracle HTTP Server oraz wtyczce proxy Oracle Weblogic Server umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP kompromitację tych produktów. Dotyczy to wersji 12.2.1.4.0, 14.1.1.0.0 oraz 14.1.2.0.0.

CVE-2025-55130
KrytyczneEPSS 73%

Podatność w modelu uprawnień Node.js umożliwia ominięcie ograniczeń `--allow-fs-read` i `--allow-fs-write` poprzez użycie spreparowanych względnych ścieżek dowiązań symbolicznych. Łącząc katalogi i dowiązania, skrypt z dostępem tylko do bieżącego katalogu może uciec z dozwolonej ścieżki i odczytać wrażliwe pliki.

CVE-2025-56005
KrytyczneEPSS 97%

Biblioteka PLY (Python Lex-Yacc) w wersji 3.11 zawiera nieudokumentowaną i niebezpieczną funkcję w parametrze `picklefile` funkcji `yacc()`, która umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację złośliwego pliku `.pkl` bez walidacji. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu, co stwarza ryzyko backdoora i trwałej obecności w systemie.

CVE-2025-65482
Krytyczne

W podatności XXE w opensagres XDocReport w wersjach od 0.9.2 do 2.0.3, atakujący mogą wykonać dowolny kod poprzez przesłanie spreparowanego pliku .docx. Problem ten może prowadzić do poważnych naruszeń bezpieczeństwa.

CVE-2025-64087
Krytyczne

W komponentach FreeMarker w wersjach od 1.0.0 do 2.1.0 XDocReport występuje podatność na wstrzykiwanie szablonów po stronie serwera (SSTI). Umożliwia ona atakującym wykonywanie dowolnego kodu poprzez wstrzykiwanie spreparowanych wyrażeń szablonów.

CVE-2026-22844
Krytyczne

W podatności typu Command Injection w routerach multimedialnych Zoom (MMR) przed wersją 5.2.1716.0, uczestnik spotkania może zdalnie wykonać kod na MMR poprzez dostęp sieciowy.

CVE-2025-14533
Krytyczne

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 0.9.2.1 włącznie. Problem wynika z funkcji 'insert_user', która nie ogranicza ról, z jakimi użytkownik może się rejestrować.

CVE-2026-1221
Krytyczne

Kontroler PrismX MX100 AP opracowany przez BROWAN COMMUNICATIONS ma podatność na użycie twardo zakodowanych poświadczeń, co pozwala nieautoryzowanym zdalnym atakującym na zalogowanie się do bazy danych przy użyciu twardo zakodowanych poświadczeń przechowywanych w oprogramowaniu układowym.

PoprzedniaStrona 189 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS