Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-20266
Krytyczne

W wersjach Splunk AI Toolkit poniżej 5.7.4, użytkownik z rolą 'admin' może wykonywać dowolne polecenia systemowe na hoście z uruchomioną instancją Splunk Enterprise. Podatność wynika z niebezpiecznego wzorca wykonania poleceń powłoki w narzędziu konfiguracyjnym btool.

CVE-2026-53874
Krytyczne

Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację, która pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu poprzez ukrywanie wywołań eval w obiektach wywoływalnych za pomocą getattr. Atakujący mogą osadzić złośliwy kod w plikach pickle, który unika wykrycia, ale wykonuje się po załadowaniu pickle z nieufnych źródeł.

CVE-2026-53873
Krytyczne

Picklescan w wersjach przed 1.0.4 zawiera niekompletną listę blokowania dla modułu profilu, co pozwala na wykonanie dowolnego kodu przez atakujących za pomocą funkcji exec(). Atakujący mogą stworzyć złośliwe pliki pickle, które wywołują profile.run(statement), co prowadzi do wykonania dowolnego kodu Pythona.

CVE-2026-3490
Krytyczne

Picklescan w wersjach przed 1.0.4 nie blokuje pkgutil.resolve_name, co pozwala atakującym na obejście całej listy blokad poprzez pośrednie wywołania REDUCE. Atakujący mogą wywołać dowolną zablokowaną funkcję, co prowadzi do zdalnego wykonania kodu.

CVE-2026-36418
Krytyczne

Wersje JimuReport 2.3.4 i wcześniejsze są podatne na zdalne wykonanie kodu z powodu niewłaściwego przetwarzania wyrażeń Aviator. Punkt końcowy /jmreport/executeSelectApi przekazuje dane wejściowe dostarczone przez użytkownika bez odpowiedniej walidacji, co pozwala atakującym na wykonanie dowolnego kodu.

CVE-2026-20181
Krytyczne

Podatność w Cisco ISE i ISE-PIC umożliwia uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń na systemie operacyjnym urządzenia. Wymaga to posiadania ważnych poświadczeń administracyjnych oraz wysłania odpowiednio skonstruowanego żądania HTTP.

CVE-2025-71325
Krytyczne

Picklescan przed wersją 0.0.27 zawiera błąd w logice analizy w funkcji _list_globals, który występuje podczas obsługi opcode'ów STACK_GLOBAL. Błąd ten pozwala złośliwym plikom pickle na ominięcie detekcji, co może prowadzić do nieoczekiwanych wyjątków.

CVE-2025-71323
Krytyczne

Picklescan w wersjach przed 0.0.33 nie blokuje modułu ctypes, co umożliwia atakującym zdalne wykonanie kodu poprzez wywoływanie bezpośrednich syscalls i dostęp do surowej pamięci. Atakujący mogą stworzyć złośliwe pliki pickle, wykorzystując ctypes.WinDLL do załadowania kernel32.dll i wykonania dowolnych poleceń.

CVE-2025-71321
Krytyczne

Picklescan przed wersją 0.0.33 zawiera podatność na dowolne zapisywanie plików, która pozwala atakującym na obejście niebezpiecznej listy blokad. Atakujący mogą skonstruować złośliwe obiekty pickle, aby nadpisać krytyczne pliki systemowe.

CVE-2025-71320
Krytyczne

Picklescan w wersjach przed 0.0.33 zawiera niekompletną listę zablokowanych funkcji, co pozwala na ominięcie zabezpieczeń związanych z funkcjami pydoc.locate i operator.methodcaller. Atakujący mogą stworzyć złośliwe pliki pickle, które po deserializacji mogą prowadzić do wykonania dowolnego kodu.

CVE-2026-55743
Krytyczne

W narzędziu OpenHuman desktop agent w wersji do 0.54.0 istnieje możliwość obejścia listy dozwolonych poleceń, co pozwala na wykonanie dowolnych poleceń systemowych z uprawnieniami użytkownika pulpitu. Dwa błędy w kodzie umożliwiają atakującemu zdalne wykonanie kodu poprzez wstrzyknięcie złośliwego polecenia.

CVE-2026-54812
Krytyczne

W podatności CVE-2026-54812 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w motywie StylemixThemes Motors.

CVE-2026-47103
KrytyczneEPSS 52%

Python StateMachine w wersjach od 3.0.0 do 3.2.0 zawiera podatność zdalnego wykonania kodu, która pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie złośliwych dokumentów SCXML z spreparowanymi atrybutami `<data expr="...">`.

CVE-2026-54819
Krytyczne

W podatności CVE-2026-54819 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na ataki typu Blind SQL Injection w aplikacji Listdom firmy Webilia Inc.

CVE-2026-54815
Krytyczne

W podatności CVE-2026-54815 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w wtyczce Cargo Shipping Location dla WooCommerce.

CVE-2026-54809
Krytyczne

W podatności CVE-2026-54809 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji VillaTheme GIFT4U.

CVE-2026-54808
Krytyczne

W podatności CVE-2026-54808 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Travel Gutenberg Blocks.

CVE-2026-49268
Krytyczne

Zdalny atakujący może wstrzykiwać specjalne znaki LDAP do konstrukcji Distinguished Name (DN) w klasie DefaultLdapRealm. Wprowadzone przez użytkownika dane logowania są bezpośrednio łączone z szablonem DN LDAP bez odpowiedniego zabezpieczenia, co umożliwia manipulację strukturą DN używaną do uwierzytelniania LDAP.

CVE-2026-49108
Krytyczne

Wersje Moderno poniżej 1.43 są podatne na nieautoryzowaną iniekcję obiektów PHP.

CVE-2025-69127
Krytyczne

Wersje Plumbing do 1.6 zawierają podatność na nieautoryzowaną injekcję obiektów PHP, co może prowadzić do nieautoryzowanego dostępu do systemu.

PoprzedniaStrona 24 z 554Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS