Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-62582
Krytyczne

Delta Electronics DIAView posiada wiele podatności, które mogą wpływać na bezpieczeństwo systemu. Wykorzystanie tych luk może prowadzić do nieautoryzowanego dostępu lub innych niepożądanych działań.

CVE-2025-62581
Krytyczne

Delta Electronics DIAView posiada wiele podatności, które mogą wpływać na bezpieczeństwo systemu. Wykorzystanie tych luk może prowadzić do nieautoryzowanego dostępu lub innych zagrożeń.

CVE-2021-47812
Krytyczne

GravCMS w wersji 1.10.7 zawiera podatność, która pozwala nieautoryzowanym atakującym na zapis dowolnych konfiguracji YAML oraz wykonanie kodu PHP poprzez punkt końcowy harmonogramu. Atakujący mogą wykorzystać parametr admin-nonce do wstrzykiwania ładunków zakodowanych w base64 i tworzenia złośliwych zadań z wykonaniem poleceń systemowych.

CVE-2021-47811
Krytyczne

Grocery Crud w wersji 1.6.4 zawiera podatność na wstrzykiwanie SQL w parametrze order_by, co umożliwia zdalnym atakującym manipulację zapytaniami do bazy danych. Atakujący mogą wstrzykiwać złośliwy kod SQL przez parametr order_by[] w żądaniach POST do punktu końcowego ajax_list, co może prowadzić do wyciągania lub modyfikacji informacji w bazie danych.

CVE-2021-47798
Krytyczne

NoteBurner w wersji 2.35 zawiera podatność na przepełnienie bufora w polu wejściowym kodu licencyjnego, co pozwala atakującym na awarię aplikacji. Atakujący mogą wygenerować 6000-bajtowy ładunek i wkleić go w pola 'Nazwa' i 'Kod', co prowadzi do awarii aplikacji.

CVE-2021-47796
Krytyczne

Kamera Denver SHC-150 Smart Wifi zawiera podatność na twardo zakodowane dane logowania do telnetu, co pozwala nieautoryzowanym atakującym uzyskać dostęp do powłoki Linux. Atakujący mogą połączyć się z portem 23, używając domyślnych danych logowania, aby wykonywać dowolne polecenia w systemie operacyjnym kamery.

CVE-2021-47785
Krytyczne

Ether MP3 CD Burner w wersji 1.3.8 zawiera podatność typu buffer overflow w polu nazwy rejestracyjnej, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwy ładunek, aby nadpisać obsługiwacze SEH i uruchomić bind shell na porcie 3110, wykorzystując niewłaściwą walidację danych wejściowych.

CVE-2026-23520
Krytyczne

Arcane, system zarządzania kontenerami Docker, przed wersją 1.13.0 miał podatność na wstrzykiwanie poleceń w usłudze aktualizacji. Usługa ta obsługiwała etykiety cyklu życia, które pozwalały na definiowanie poleceń do uruchomienia przed lub po aktualizacji kontenera, jednak wartość etykiety była przekazywana bez sanitizacji.

CVE-2025-62193
Krytyczne

Serwisy korzystające z NOAA PMEL Live Access Server (LAS) są podatne na zdalne wykonanie kodu poprzez specjalnie przygotowane żądania zawierające wyrażenia PyFerret. Wykorzystując polecenie SPAWN, zdalny, nieautoryzowany atakujący może wykonywać dowolne polecenia systemowe.

CVE-2021-47819
Krytyczne

ProjeQtOr Project Management w wersji 9.1.4 zawiera podatność na przesyłanie plików, która pozwala użytkownikom gościnnym na przesyłanie złośliwych plików PHP z możliwością wykonania dowolnego kodu. Atakujący mogą przesłać skrypt PHP przez sekcję załączników profilu i wykonać polecenia systemowe, uzyskując dostęp do przesłanego pliku za pomocą specjalnie skonstruowanego parametru żądania.

CVE-2021-47781
Krytyczne

Cmder Console Emulator w wersji 1.3.18 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wywołanie stanu odmowy usługi poprzez złośliwie skonstruowany plik .cmd. Atakujący mogą stworzyć plik .cmd z powtarzającymi się znakami, aby przeciążyć bufor emulatora konsoli i spowodować awarię aplikacji.

CVE-2021-47774
Krytyczne

Kingdia CD Extractor w wersji 3.0.2 zawiera podatność typu buffer overflow w polu nazwy rejestracyjnej, która umożliwia atakującym wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy ładunek przekraczający 256 bajtów, aby nadpisać Structured Exception Handler i uzyskać zdalne wykonanie kodu przez bind shell.

CVE-2026-22859
KrytyczneEPSS 51%

W FreeRDP przed wersją 3.20.1 klient URBDRC nie sprawdza granic wartości MSUSB_INTERFACE_DESCRIPTOR dostarczonych przez serwer, używając ich jako indeksów w funkcji libusb_udev_complete_msconfig_setup, co prowadzi do odczytu poza zakresem pamięci.

CVE-2026-22858
Krytyczne

W FreeRDP przed wersją 3.20.1 wykryto podatność na przepełnienie bufora globalnego w ścieżce dekodowania Base64. Problem wynika z implementacyjnie zdefiniowanej znakowości typu char: na platformach Arm/AArch64, gdzie char jest traktowany jako unsigned, warunek c <= 0 może być zoptymalizowany do c != 0, co pozwala na użycie bajtów spoza ASCII (0x80-0xFF) jako indeksu do globalnej tablicy, prowadząc do odczytu poza zakresem.

CVE-2026-22855
KrytyczneEPSS 51%

W FreeRDP przed wersją 3.20.1 występuje podatność polegająca na odczycie poza dozwolonym obszarem sterty w ścieżce SetAttrib dla kart inteligentnych. Problem pojawia się, gdy długość atrybutu (cbAttrLen) nie zgadza się z rzeczywistą długością bufora NDR.

CVE-2026-22853
Krytyczne

W FreeRDP przed wersją 3.20.1, w implementacji RDPEAR, czytnik tablic NDR nie sprawdza granic liczby elementów przesyłanych przez sieć, co może prowadzić do zapisu poza przydzieloną pamięcią sterty w funkcji ndr_read_uint8Array. Powoduje to przepełnienie bufora sterty.

CVE-2026-22708
Krytyczne

Cursor to edytor kodu stworzony do programowania z wykorzystaniem AI. Przed wersją 2.3, gdy Agent Cursor działał w trybie Auto-Run z włączonym trybem Allowlist, niektóre wbudowane polecenia powłoki mogły być wykonywane bez pojawiania się na liście dozwolonych i bez wymagania zgody użytkownika.

CVE-2025-37184
Krytyczne

W usłudze Orchestrator występuje podatność, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na ominięcie wymagań dotyczących uwierzytelniania wieloskładnikowego. Udana eksploitacja może umożliwić atakującemu utworzenie konta użytkownika z uprawnieniami administratora bez konieczności przechodzenia przez uwierzytelnianie wieloskładnikowe.

CVE-2026-22238
Krytyczne

Podatność CVE-2026-22238 występuje w BLUVOYIX z powodu niewłaściwej autoryzacji w interfejsach API administracyjnych. Zdalny atakujący bez uwierzytelnienia może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do podatnego API administracyjnego, aby utworzyć nowego użytkownika z uprawnieniami administratora.

CVE-2026-22237
Krytyczne

Podatność CVE-2026-22237 występuje w BLUVOYIX z powodu ujawnienia wrażliwej dokumentacji wewnętrznych API. Nieautoryzowany zdalny atakujący może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do API ujawnionych w dokumentacji.

PoprzedniaStrona 191 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS