Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-48902
Krytyczne

Funkcje resetowania hasła i nazwy użytkownika generowały zwykłe linki http dla połączeń https, jeśli flaga 'Force SSL' nie była wyraźnie ustawiona. Może to prowadzić do nieautoryzowanego dostępu do kont użytkowników.

CVE-2026-48899
Krytyczne

Nieprawidłowa kontrola dostępu umożliwia eskalację uprawnień poprzez zadanie wsadowe com_users.

CVE-2026-48898
Krytyczne

Nieprawidłowa kontrola dostępu umożliwia eskalację uprawnień poprzez zadanie wsadowe com_users.

CVE-2026-48691
Krytyczne

FastNetMon Community Edition w wersji do 1.2.9 zawiera przepełnienie całkowite w enkoderze atrybutu BGP AS_PATH. Funkcja get_attributes() oblicza długość atrybutu, co prowadzi do cichego obcięcia, gdy AS_PATH zawiera więcej niż 63 ASN, co skutkuje przepełnieniem bufora na stercie.

CVE-2026-45721
Krytyczne

Algernon to mały, samodzielny serwer WWW napisany w Go. W wersjach przed 1.17.7, gdy serwer otrzymuje żądanie URL, które prowadzi do katalogu bez pliku indeksu, przeszukuje on katalogi nadrzędne w poszukiwaniu pliku handler.lua, co może prowadzić do wykonania zdalnego kodu.

CVE-2026-40383
Krytyczne

Nieprawidłowa walidacja danych wejściowych dostarczonych przez użytkownika prowadzi do podatności na lokalne włączenie pliku.

CVE-2026-35223
Krytyczne

Nieprawidłowa kontrola dostępu umożliwia nieautoryzowany dostęp do punktów końcowych usługi internetowej com_config.

CVE-2026-35222
Krytyczne

Nieprawidłowo walidowane klauzule zamówień prowadzą do podatności na wstrzyknięcie SQL w com_tags.

CVE-2026-35221
Krytyczne

Nieprawidłowo skonstruowane klauzule filtrów prowadzą do podatności na wstrzykiwanie SQL w zapytaniu wyszukiwania dla com_finder.

CVE-2026-2264
Krytyczne

Podatność w polityce SetIntegrationRequest Google Cloud Apigee umożliwia zdalnym atakującym przeprowadzenie ataku typu Server-Side Request Forgery (SSRF) oraz wykradzenie tokenów dostępu konta usługi.

CVE-2026-48687
Krytyczne

FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na wstrzykiwanie poleceń systemowych w wtyczce integracyjnej dla routerów Juniper. Funkcja _log() w pliku fastnetmon_juniper.php konstruuje polecenia powłoki, łącząc parametr $msg bezpośrednio w wywołaniach exec().

CVE-2026-48686
Krytyczne

FastNetMon Community Edition w wersji do 1.2.9 zawiera przepełnienie bufora na stosie w dekoderze BGP NLRI. Funkcja decode_bgp_subnet_encoding_ipv4_raw() nie weryfikuje długości prefiksu, co prowadzi do potencjalnego wykonania dowolnego kodu.

CVE-2026-4480
KrytyczneEPSS 96%

W podsystemie drukowania Samby znaleziono lukę, która pozwala zdalnemu atakującemu na wykonanie kodu poprzez wysłanie specjalnie spreparowanego opisu zadania drukowania. Opis ten jest przekazywany do polecenia skonfigurowanego w ustawieniu "print command" bez odpowiedniego escapowania znaków specjalnych powłoki.

CVE-2026-45247
KrytyczneAktywnie exploitowane

Mirasvit Full Page Cache Warmer dla Magento 2 przed wersją 1.11.12 zawiera podatność na wstrzykiwanie obiektów PHP, która pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez dostarczenie spreparowanego zserializowanego obiektu PHP w ciasteczku CacheWarmer. Wykorzystanie nieograniczonego wywołania funkcji PHP unserialize() w połączeniu z łańcuchami gadżetów dostępnymi w Magento i jego zależnościach umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2026-9543
Krytyczne

Wykryto podatność w Totolink N300RH 6.1c.1353_B20190305, która dotyczy funkcji setPasswordCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem admpass prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7374
Krytyczne

W KubeVirt w komponencie virt-handler znaleziono lukę umożliwiającą uwierzytelnionemu użytkownikowi OpenShift z uprawnieniami edycji w pojedynczej przestrzeni nazw wykorzystanie nieprawidłowej walidacji dowiązań symbolicznych podczas łączenia z konsolami maszyn wirtualnych. Poprzez zastąpienie gniazda konsoli dowiązaniem symbolicznym do gniazda CRI-O hosta, atakujący może przejąć uprzywilejowane połączenie virt-handlera, uzyskując dostęp do dowolnego gniazda Unix na hoście, co może prowadzić do pełnej kontroli nad węzłem i całym klastrem.

CVE-2026-42496
Krytyczne

Podatność w bibliotece Archive::Tar dla Perla przed wersją 3.08 pozwala na wypakowanie dowiązań symbolicznych ze wskazaniem na dowolną ścieżkę poza katalogiem docelowym. Funkcja _make_special_file() nie sprawdza poprawności ścieżki docelowej dowiązania, co umożliwia atakującemu nadpisanie plików poza katalogiem wypakowania.

CVE-2026-42774
Krytyczne

W podatności CVE-2026-42774 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co pozwala na atak typu SQL Injection w Crocoblock JetEngine.

CVE-2026-42773
Krytyczne

W podatności CVE-2026-42773 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do podatności na Blind SQL Injection w eMagicOne Store Manager.

CVE-2026-9478
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, dotyczącą funkcji setParentalRules w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania webowego. Manipulacja argumentem enable może prowadzić do wstrzyknięcia poleceń systemowych.

PoprzedniaStrona 65 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS