Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Zidentyfikowano słabość w Totolink A8000RU 7.1cu.643_b20200521, dotyczącą funkcji setRemoteCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem enable może prowadzić do wstrzyknięcia poleceń systemowych.
W Totolink A8000RU 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa w funkcji setGameSpeedCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.
Zidentyfikowano podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setDdnsCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem provider prowadzi do wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, dotyczącą funkcji setScheduleCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem mode może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A8000RU 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa w funkcji setUpgradeFW pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem resetFlags prowadzi do wstrzyknięcia poleceń systemowych.
Zidentyfikowano podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setLanguageCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem lang prowadzi do wstrzyknięcia poleceń systemowych.
W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność, która dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem command prowadzi do wstrzyknięcia poleceń systemowych.
Wykryto podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.
Dolibarr ERP CRM w wersji 7.0.3 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie kodu PHP za pomocą parametru db_name. Atakujący mogą wysłać żądanie POST do install/step1.php z złośliwym kodem PHP w parametrze db_name, a następnie wykonywać polecenia za pomocą punktu końcowego check.php przy użyciu parametru cmd GET.
userSpice w wersji 4.3.24 zawiera podatność na enumerację nazw użytkowników, która pozwala nieautoryzowanym atakującym na odkrywanie ważnych nazw użytkowników poprzez wysyłanie żądań POST do punktu końcowego existingUsernameCheck.php.
Nieprawidłowa autoryzacja w Azure Resource Manager (ARM) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Błąd walidacji pochodzenia w Microsoft Entra ID umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Deserializacja nieufnych danych w Microsoft Planetary Computer Pro umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.
W Microsoft Copilot występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach, co prowadzi do podatności na wstrzykiwanie poleceń. Umożliwia to nieautoryzowanemu atakującemu manipulację w sieci.
W Azure Orbital Spatio występuje nieograniczony upload plików z niebezpiecznymi typami, co pozwala nieautoryzowanemu atakującemu na wykonanie kodu w sieci.
Nieprawidłowa walidacja danych wejściowych w Azure Virtual Network Gateway umożliwia autoryzowanemu atakującemu wykonanie kodu przez sieć.
Podatność w Microsoft Azure Active Directory B2C umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału, co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.
W Microsoft Power Pages występuje podatność na wstrzykiwanie poleceń z powodu niewłaściwego neutralizowania specjalnych elementów. Umożliwia to nieautoryzowanemu atakującemu wykonanie kodu przez sieć.
Wszystkie wersje PCManFM-Qt od 1.1.0 mają problem, w którym ścieżka do zwykłego pliku przekazywana jako URI w wywołaniu metody D-Bus org.freedesktop.FileManager1.ShowFolders powoduje, że PCManFM-Qt deleguje zadanie do innego programu bez potwierdzenia użytkownika. Może to prowadzić do wykonania kodu lub obejścia ograniczeń przestrzeni nazw sieci.
Typebot to narzędzie do budowy chatbotów, które w wersjach 3.15.2 i wcześniejszych ma lukę umożliwiającą nieautoryzowanym użytkownikom przeprowadzenie ataku typu Server-Side Request Forgery (SSRF) poprzez dostarczenie niestandardowej definicji typebota z blokami kodu po stronie serwera. Funkcja fetch w izolowanym środowisku nie weryfikuje poprawności URL, co pozwala na obejście zabezpieczeń SSRF.

