Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-50869
Krytyczne

Wersja 3.19.0 Bludit zawiera lukę w komponencie api/plugin.php, która umożliwia atakującym wykonanie ataku typu directory traversal poprzez dostarczenie odpowiednio skonstruowanego żądania.

CVE-2026-49952
Krytyczne

W wersjach Discuz! X5.0 od 20260320 do 20260501 występuje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym zdalnym uzyskać dostęp do funkcji tworzenia kopii zapasowych i przywracania bazy danych. Wykorzystując wspólny klucz kryptograficzny, atakujący mogą wstrzykiwać złośliwe ładunki przez parametr nazwy użytkownika podczas logowania.

CVE-2026-48114
Krytyczne

Metacat to oprogramowanie do przechowywania danych, które zawiera podatność na nieautoryzowaną iniekcję SQL w punkcie końcowym /harvesterRegistration w wersjach 2.0.0 i wyższych. Wykorzystanie tej podatności pozwala na pełny dostęp do odczytu, zapisu i wykonywania w kontekście bazy danych Metacat.

CVE-2026-45390
Krytyczne

W OCaml-tar przed wersją 3.4.0, stworzony archiwum z segmentami ścieżki ../ w swojej nazwie pozwala na ucieczkę z bieżącego katalogu roboczego. Mimo że tar(1) odrzuca takie ekstrakcje, ocaml-tar dekompresuje je mimo to.

CVE-2026-45388
Krytyczne

W OCaml-TLS przed wersją 2.1.0 implementacja klienta nie przeprowadza wystarczających kontroli certyfikatu dostarczonego przez serwer, co umożliwia podszywanie się przy użyciu certyfikatów, które nie są przeznaczone do uwierzytelniania serwera.

CVE-2026-39196
Krytyczne

W wersji 0.54.0 oprogramowania Vector firmy Datadog, Inc. odkryto podatność na wstrzykiwanie SQL w parametrze set_uri_query funkcji KeyPartitioner::partition. Umożliwia to atakującym dostęp do wrażliwych informacji w bazie danych za pomocą spreparowanych zapytań SQL.

CVE-2026-39006
Krytyczne

Problem w SNMP4J-Agent w wersji 3.8.3 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent snmp4jCfgStoragePath.

CVE-2026-38812
Krytyczne

RuoYi w wersji 4.8.2 jest podatny na atak typu SQL Injection poprzez punkt końcowy /tool/gen/createTable. Problem dotyczy modułu generowania kodu i może umożliwić uwierzytelnionemu atakującemu z uprawnieniami administratora dostęp do wrażliwych informacji w bazie danych.

CVE-2026-38329
Krytyczne

Bludit CMS przed wersją 3.18.4 umożliwia zdalne wykonanie kodu (RCE) poprzez wtyczkę API. Punkt końcowy POST /api/files/{key} w pliku bl-plugins/api/plugin.php nie przeprowadza kontroli autoryzacji i nie weryfikuje rozszerzeń plików.

CVE-2026-38065
Krytyczne

Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_ims_on_with_apn za pośrednictwem parametru ims_apn.

CVE-2026-38064
Krytyczne

Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_dial_call poprzez parametr dialNumber.

CVE-2026-38063
Krytyczne

Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_radio_on_with_ia_apn poprzez parametr ia.

CVE-2026-38062
Krytyczne

Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_set_rat_mode za pośrednictwem parametru ratMode.

CVE-2026-38061
Krytyczne

Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_set_volume poprzez parametr volume.

CVE-2026-38060
Krytyczne

Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_unlock_sim poprzez parametr pin.

CVE-2026-36537
Krytyczne

Wersja ThingsBoard v4.3.0.1 jest podatna na obejście uwierzytelniania podczas wymiany kodu autoryzacyjnego OAuth. Aplikacja niewłaściwie ufa danym tożsamości dostarczonym przez użytkownika w parametrze użytkownika na końcówce /login/oauth2/code/.

CVE-2026-30121
Krytyczne

W wersji 4.0.409 biblioteki remotion-dev remotion odkryto podatność umożliwiającą zapis dowolnych plików.

CVE-2026-30120
KrytyczneEPSS 52%

Wersja 4.0.409 biblioteki remotion-dev remotion zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE).

CVE-2026-9862
KrytyczneEPSS 53%

W systemie Fortra Core Privileged Access Manager (BoKS) występuje podatność na wstrzykiwanie poleceń systemowych w usłudze boks_autoregisterd. Zdalny atakujący z dostępem do sieci może spowodować wykonanie poleceń z uprawnieniami tej usługi podczas procesu automatycznej rejestracji.

CVE-2026-52704
Krytyczne

W podatności CVE-2026-52704 występuje niewłaściwa kontrola generowania kodu w WooCommerce PDF Invoice Builder, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 2.0.8.

PoprzedniaStrona 40 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS