Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-42919
Średnie

W systemach BIG-IP występuje podatność, która może pozwolić uwierzytelnionemu atakującemu z dostępem administracyjnym na eskalację uprawnień. Udany atak może umożliwić atakującemu przekroczenie granicy bezpieczeństwa.

CVE-2026-42781
Średnie

Podczas konfiguracji przyspieszenia ePVA (embedded Packet Velocity Acceleration), nieujawniony lokalny ruch ethernetowy może prowadzić do zwiększonego wykorzystania zasobów ePVA oraz mikrojądra zarządzania ruchem (TMM).

CVE-2026-42780
ŚrednieEPSS 55%

W BIG-IP SSL Orchestrator występuje podatność na traversję katalogów, która pozwala uwierzytelnionemu atakującemu z wysokimi uprawnieniami na nadpisywanie, usuwanie lub uszkadzanie dowolnych lokalnych plików.

CVE-2026-42408
Średnie

W systemie BIG-IP DNS występuje podatność w nieujawnionym poleceniu TMOS Shell (tmsh), która może umożliwić wysoko uprzywilejowanemu uwierzytelnionemu atakującemu dostęp do wrażliwych informacji.

CVE-2026-42063
Średnie

W iControl SOAP występuje podatność, która pozwala uwierzytelnionemu atakującemu z rolą Administratora Zasobów lub Administratora na pobranie wrażliwych plików.

CVE-2026-42058
Średnie

Atakujący z autoryzacją może wysłać nieujawnione żądania do BIG-IP iControl REST, co prowadzi do wycieku nazw lokalnych kont użytkowników BIG-IP.

CVE-2026-41959
Średnie

W BIG-IP i BIG-IQ TMOS Shell (tmsh) występują luki związane z nieprawidłowym przypisaniem uprawnień w poleceniach diagnostycznych sieci oraz w BIG-IP iControl REST. Te luki mogą umożliwić uwierzytelnionemu atakującemu przeglądanie statusu sieci systemów docelowych.

CVE-2026-41954
Średnie

W podatności CVE-2026-41954 występuje ujawnienie wrażliwych informacji w nieujawnionym punkcie końcowym iControl REST oraz w poleceniach TMOS Shell (tmsh). Umożliwia to uwierzytelnionemu atakującemu z uprawnieniami administratora zasobów przeglądanie wrażliwych informacji.

CVE-2026-41219
Średnie

W BIG-IP QKView występuje luka związana z niewłaściwą sanitizacją, która pozwala atakującemu o niskich uprawnieniach na odczytanie wrażliwych informacji z pliku QKView.

CVE-2026-40703
Średnie

W panelu sterowania narzędzia konfiguracyjnego BIG-IP występuje podatność na atak typu cross-site request forgery (CSRF). Dotyczy to wersji oprogramowania, które nie osiągnęły końca wsparcia technicznego (EoTS).

CVE-2026-40701
Średnie

NGINX Plus i NGINX Open Source mają podatność w module ngx_http_ssl_module, gdy dyrektywa ssl_verify_client jest ustawiona na 'on' lub 'optional', a dyrektywa ssl_ocsp jest ustawiona na 'on' lub parametry leaf są skonfigurowane z resolverem. W tej konfiguracji, nieautoryzowany atakujący może wysłać żądania, które mogą spowodować błąd heap-use-after-free w procesie roboczym NGINX.

CVE-2026-40699
Średnie

Występuje podatność w nieujawnionych stronach narzędzia konfiguracyjnego, która może pozwolić atakującemu z niskimi uprawnieniami na dostęp do nieujawnionych informacji wrażliwych.

CVE-2026-40462
Średnie

Podatność w iControl REST i powłoce TMOS (tmsh) wynika z nieprawidłowego przypisania uprawnień do nieujawnionego polecenia. Umożliwia to uwierzytelnionemu atakującemu odczyt wrażliwych informacji.

CVE-2026-40460
Średnie

W NGINX Plus i NGINX Open Source z włączonym modułem HTTP/3 QUIC istnieje podatność umożliwiająca atakującemu sfałszowanie źródłowego adresu IP, co pozwala na ominięcie autoryzacji lub ograniczeń prędkości.

CVE-2026-40435
Średnie

Podatność w serwerze httpd powoduje, że skonfigurowane ograniczenia dostępu oparte na adresie IP nie obejmują wszystkich punktów końcowych. Może to umożliwić połączenia z adresów, które powinny być zablokowane.

CVE-2026-36738
Średnie

Router Wi-Fi U-SPEED AC1200 Gigabit (Model T18-21K) V1.0 posiada podatność polegającą na nieprawidłowej kontroli dostępu. Interfejs UART urządzenia nie wymaga uwierzytelnienia, autoryzacji ani żadnych mechanizmów kontroli dostępu. Atakujący z fizycznym dostępem do pinów UART może połączyć się z interfejsem i uzyskać nieograniczony dostęp do funkcji urządzenia.

CVE-2026-35062
Średnie

Uwierzytelniony użytkownik iControl SOAP może uzyskać informacje o innych kontach. Podatność dotyczy oprogramowania, które nie osiągnęło końca wsparcia technicznego.

CVE-2026-34019
Średnie

Podatność w protokole BFD (Bidirectional Forwarding Detection) skonfigurowanym w statycznych i dynamicznych protokołach routingu powoduje, że nieokreślony ruch sieciowy zatrzymuje przetwarzanie pakietów BFD przez moduł TMM (Traffic Management Microkernel). Prowadzi to do przełączenia awaryjnego skonfigurowanego protokołu routingu.

CVE-2026-31156
Średnie

W OpenPLC v3 (commit 2c82b0e79c53f8c1f1458eee15fec173400d6e1a) wykryto podatność na wstrzykiwanie ścieżki. Binarny program skompilowany z glue_generator.cpp nie waliduje parametrów ścieżki pliku przekazywanych przez linię poleceń, co pozwala atakującemu na odczyt dowolnych plików.

CVE-2026-28758
Średnie

W przypadku skonfigurowania BIG-IP DNS, podatność w poleceniach iControl REST gtm_add i bigip_add powoduje zwracanie parametru ssh-password w postaci jawnego tekstu w odpowiedzi REST oraz zapisywanie go w logu audytu. Umożliwia to wysoko uprzywilejowanemu, uwierzytelnionemu atakującemu z dostępem do logu audytu odczytanie poufnych informacji.

PoprzedniaStrona 228 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS