Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-46376
Krytyczne

FreePBX to otwarte oprogramowanie IP PBX. Użytkownicy nieautoryzowani mogą uzyskać dostęp do Panelu Sterowania Użytkownika (UCP) przy użyciu wbudowanych, początkowych danych logowania, jeśli administrator nie zmienił ich natychmiast po włączeniu UCP.

CVE-2026-45312
Krytyczne

RAGFlow to otwartoźródłowy silnik RAG (Retrieval-Augmented Generation). W wersji 0.24.0 i wcześniejszych występuje podatność na wstrzykiwanie szablonów Jinja2 w generatorze promptów, co pozwala każdemu uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń systemowych na serwerze.

CVE-2026-45043
Krytyczne

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, niewłaściwa walidacja w punkcie końcowym PUT /rustfs/admin/v3/import-iam pozwalała użytkownikowi z uprawnieniami ImportIAMAction na tworzenie kont serwisowych pod dowolnymi tożsamościami nadrzędnymi, w tym użytkownikiem root (minioadmin).

CVE-2026-10071
Krytyczne

DreamMaker opracowany przez Interinfo ma podatność na arbitralne przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie backdoorów w postaci powłok webowych, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2026-9559
Krytyczne

W Mautic 7 występuje podatność typu path traversal w funkcji importu kampanii. Błąd w logice walidacji pozwala na wydostanie się ścieżek plików poza zamierzone katalogi tymczasowe podczas ekstrakcji przesłanych plików ZIP.

CVE-2025-41277
Krytyczne

W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność typu CWE-78, która pozwala na niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemowych. Ta luka umożliwia zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu poprzez interfejs webowy konsoli.

CVE-2025-41276
Krytyczne

W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, polegającą na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.

CVE-2025-41275
Krytyczne

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('OS Command Injection') w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.

CVE-2025-41274
Krytyczne

W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, która umożliwia zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych poprzez Console WebUI.

CVE-2025-41273
Krytyczne

W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano lukę CWE-288, która pozwala zdalnym, nieautoryzowanym atakującym na ominięcie uwierzytelnienia w aplikacji webowej Console. Dzięki temu mogą oni wykonywać działania jako uwierzytelniony użytkownik.

CVE-2025-41272
Krytyczne

W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, polegającą na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.

CVE-2025-41270
Krytyczne

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('OS Command Injection') w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040. Ta podatność pozwala zdalnym, nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych na urządzeniu.

CVE-2025-41269
Krytyczne

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('Wstrzyknięcie polecenia OS') w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040. Ta podatność pozwala zdalnym, nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych na urządzeniu.

CVE-2025-41268
Krytyczne

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-23: Przechodzenie przez względne ścieżki w interfejsie administracyjnym WebUI w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, nieautoryzowanym atakującym usuwanie dowolnych plików na maszynach hosta.

CVE-2026-9558
Krytyczne

W Mautic występuje podatność typu Server-Side Template Injection (SSTI) w silniku szablonów. Użytkownicy z odpowiednimi uprawnieniami mogą wykorzystać tę lukę do wykonania dowolnego kodu na serwerze lub uzyskania dostępu do zastrzeżonych plików systemowych i ustawień konfiguracyjnych.

CVE-2026-49201
Krytyczne

Program upload.cgi, odpowiedzialny za przetwarzanie kopii zapasowych urządzeń, zawiera wbudowany klucz szyfrowania AES. Umożliwia to atakującemu odszyfrowanie, modyfikację i ponowne zaszyfrowanie kopii zapasowych systemu, co ułatwia wprowadzenie trwałego tylnego wejścia.

CVE-2026-49200
Krytyczne

Plik acer_cgi.log w oprogramowaniu urządzenia jest dostępny bez uwierzytelnienia przez interfejs webowy. Zawiera on dane logowania w postaci niezaszyfrowanej, co prowadzi do nieautoryzowanego dostępu do systemu.

CVE-2026-49199
Krytyczne

Specjalnie przygotowane wiadomości MQTT mogą wywołać wstrzyknięcie poleceń, co prowadzi do wykonania kodu na poziomie roota na docelowym urządzeniu.

CVE-2026-49197
Krytyczne

Punkty końcowe webowe przeznaczone dla aplikacji Acer Connect nieprawidłowo walidują nagłówek autoryzacji HTTP, co prowadzi do braku blokowania żądań, gdy dekodowanie Base64 kończy się niepowodzeniem.

CVE-2026-3655
Krytyczne

Wtyczka OTP Login With Phone Number, OTP Verification dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.8.50 do 1.8.60. Problem wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującym uwierzytelnienie się jako dowolny użytkownik posiadający numer telefonu w metadanych użytkownika.

PoprzedniaStrona 58 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS