Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-50076
Krytyczne

W Apache Fory (foray-core Java SDK przed wersją 1.1.0) występuje podatność na deserializację niezaufanych danych, co pozwala zdalnemu atakującemu na obejście kontroli rejestracji klas oraz wywołanie niebezpiecznych metod.

CVE-2025-67446
Krytyczne

W routerze Neterbit NW-431F w wersji 20241014-IR03 i wcześniejszych występuje nieprawidłowa autoryzacja, która pozwala na ominięcie mechanizmu uwierzytelniania. Atakujący może zmodyfikować wartość ciasteczka, co umożliwia dostęp do funkcji administracyjnych bez odpowiednich uprawnień.

CVE-2026-43986
Krytyczne

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 udostępnia publiczną trasę `/image/<hash>`. Umożliwia to atakującym wykorzystanie kontrolowanych przez siebie wpisów z `image_hash_lookup`, co prowadzi do nieautoryzowanego pobierania obrazów z zewnętrznych adresów URL.

CVE-2026-36182
Krytyczne

W systemie GNCC GP5 w wersji 7.1.76 odkryto użycie słabego algorytmu haszowania do ochrony hasła roota. Może to umożliwić atakującym odzyskanie danych uwierzytelniających roota i uzyskanie pełnych uprawnień poprzez atak brute-force.

CVE-2026-10868
Krytyczne

W funkcjonalności edycji użytkowników w MISP występuje podatność na masowe przypisanie z powodu niewystarczającego filtrowania pól dostarczanych przez użytkownika. Złośliwy, uwierzytelniony atakujący może wysłać zmodyfikowane żądanie, które zawiera identyfikator innego użytkownika, co może prowadzić do nieautoryzowanej modyfikacji atrybutów konta użytkownika.

CVE-2026-35906
Krytyczne

W modelach T3 Technology CPE T625Pro v1.0.07 oraz T6825G v1.0.03 występuje nieudokumentowany punkt końcowy CGI do debugowania, który pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych jako root poprzez dostarczenie odpowiednio skonstruowanego ciągu zapytania HTTP.

CVE-2026-35905
Krytyczne

Modele T3 Technology CPE T625Pro v1.0.07, T6825G v1.0.03 oraz T7281 v1.0.03 zawierają twardo zakodowane hasło dla dostępu root pod kontem 'superadmin'.

CVE-2026-35904
Krytyczne

Nieprawidłowa kontrola dostępu w interfejsie zarządzania siecią modeli CPE T3 Technology T625Pro v1.0.07, T6825G v1.0.03 oraz T7281 v1.0.03 umożliwia nieautoryzowanym atakującym włączenie usługi Telnet poprzez wysłanie spreparowanego żądania do podatnego komponentu CGI.

CVE-2026-8037
KrytyczneEPSS 94%

Podatność umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych na urządzeniu LoadMaster poprzez wstrzyknięcie poleceń do nieoczyszczonych danych wejściowych w wielu punktach końcowych API.

CVE-2019-25741
Krytyczne

MobaXterm w wersji 12.1 zawiera podatność typu przepełnienie bufora opartą na obsłudze wyjątków (SEH) w polu nazwy użytkownika plików sesji. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu poprzez przygotowanie złośliwego pliku sesji MobaXterm, który wywołuje tę podatność podczas importu i wykonania.

CVE-2019-25738
Krytyczne

WordPress Hybrid Composer w wersji 1.4.6 zawiera podatność na nieautoryzowaną zmianę ustawień, która pozwala atakującym na modyfikację opcji WordPressa. Wykorzystując akcję hc_ajax_save_option, atakujący mogą wysyłać żądania POST do punktu końcowego admin-ajax.php, co umożliwia włączenie rejestracji użytkowników oraz ustawienie domyślnej roli na administratora.

CVE-2019-25729
Krytyczne

PDF Signer 3.0 zawiera podatność na wstrzykiwanie szablonów po stronie serwera, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie poleceń PHP za pomocą parametru cookie CSRF-TOKEN. Atakujący mogą stworzyć złośliwe wartości cookie zawierające ładunki wstrzykujące, takie jak shell_exec(), aby wykonywać polecenia systemowe.

CVE-2019-25727
Krytyczne

Wtyczka WordPress ad manager w wersji 1.0.11 zawiera podatność na pobieranie dowolnych plików, która pozwala nieautoryzowanym atakującym na pobieranie wrażliwych plików poprzez manipulację parametrem ścieżki. Atakujący mogą wysyłać żądania GET do punktu końcowego edit.php z parametrem export=export_csv oraz złośliwym parametrem ścieżki, aby odczytać dowolne pliki, takie jak wp-config.php, dostępne dla serwera WWW.

CVE-2026-4104
Krytyczne

Podatność CVE-2026-4104 dotyczy TeknoPass i polega na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz główny SQL, co umożliwia atak SQL Injection. Problem ten występuje w wersjach od 20210501 do 20260429.

CVE-2026-50225
Krytyczne

Ścieżka rejestracji /v1/account/register nie posiada mechanizmów przeciwdziałających botom, co umożliwia złośliwym systemom automatycznym zalewanie bazy danych.

CVE-2026-50214
Krytyczne

Usługa /v1/Plan polega całkowicie na wspólnym globalnym tokenie API do pełnego zarządzania administracyjnego, co umożliwia dowolne tworzenie planów dostępu do sieci bez kosztów.

CVE-2026-50211
Krytyczne

Na wersjach detalicznych pozostają wystawione na działanie złośliwego oprogramowania diagnostyka inżynieryjna oraz oprogramowanie diagnostyczne na poziomie fabrycznym, co umożliwia złośliwym aplikacjom uzyskanie uprawnień do zapisu w wewnętrznych rejestrach NVRAM.

CVE-2026-50208
Krytyczne

Routines TrustAllCerts o wysokim ryzyku wyłączają standardową walidację certyfikatów TLS. W połączeniu z zakodowanymi kluczami szyfrowania DES, atakujący typu Man-in-the-Middle (MITM) mógłby odszyfrować ruch sieciowy.

CVE-2026-49191
Krytyczne

Produkcja M3WebServer zawiera twardo zakodowane klucze API backendu, które mogą być łatwo przechwycone poprzez szczegółowe strony błędów.

CVE-2026-49188
Krytyczne

Narzędzie ai_cmd działa z pełnymi uprawnieniami roota i przekazuje dane z gniazd do funkcji popen(). To umożliwia nieautoryzowanym użytkownikom wykonywanie dowolnych poleceń z uprawnieniami roota.

PoprzedniaStrona 53 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS