Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-9406
Krytyczne

Zidentyfikowano słabość w Totolink A8000RU 7.1cu.643_b20200521, dotyczącą funkcji setRemoteCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem enable może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-9405
Krytyczne

W Totolink A8000RU 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa w funkcji setGameSpeedCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-9404
Krytyczne

Zidentyfikowano podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setDdnsCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem provider prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-9388
Krytyczne

Zidentyfikowano słabość w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, dotyczącą funkcji setScheduleCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem mode może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-9387
Krytyczne

W urządzeniu Totolink A8000RU 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa w funkcji setUpgradeFW pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem resetFlags prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-9386
Krytyczne

Zidentyfikowano podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setLanguageCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem lang prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-9385
Krytyczne

W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność, która dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem command prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-9384
Krytyczne

Wykryto podatność w Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi interfejsu zarządzania przez sieć. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2018-25357
Krytyczne

Dolibarr ERP CRM w wersji 7.0.3 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie kodu PHP za pomocą parametru db_name. Atakujący mogą wysłać żądanie POST do install/step1.php z złośliwym kodem PHP w parametrze db_name, a następnie wykonywać polecenia za pomocą punktu końcowego check.php przy użyciu parametru cmd GET.

CVE-2018-25350
Krytyczne

userSpice w wersji 4.3.24 zawiera podatność na enumerację nazw użytkowników, która pozwala nieautoryzowanym atakującym na odkrywanie ważnych nazw użytkowników poprzez wysyłanie żądań POST do punktu końcowego existingUsernameCheck.php.

CVE-2026-47280
Krytyczne

Nieprawidłowa autoryzacja w Azure Resource Manager (ARM) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-42901
Krytyczne

Błąd walidacji pochodzenia w Microsoft Entra ID umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-41104
Krytyczne

Deserializacja nieufnych danych w Microsoft Planetary Computer Pro umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-41090
Krytyczne

W Microsoft Copilot występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach, co prowadzi do podatności na wstrzykiwanie poleceń. Umożliwia to nieautoryzowanemu atakującemu manipulację w sieci.

CVE-2026-40412
Krytyczne

W Azure Orbital Spatio występuje nieograniczony upload plików z niebezpiecznymi typami, co pozwala nieautoryzowanemu atakującemu na wykonanie kodu w sieci.

CVE-2026-40411
Krytyczne

Nieprawidłowa walidacja danych wejściowych w Azure Virtual Network Gateway umożliwia autoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-33843
Krytyczne

Podatność w Microsoft Azure Active Directory B2C umożliwia obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału, co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-23652
Krytyczne

W Microsoft Power Pages występuje podatność na wstrzykiwanie poleceń z powodu niewłaściwego neutralizowania specjalnych elementów. Umożliwia to nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-48700
Krytyczne

Wszystkie wersje PCManFM-Qt od 1.1.0 mają problem, w którym ścieżka do zwykłego pliku przekazywana jako URI w wywołaniu metody D-Bus org.freedesktop.FileManager1.ShowFolders powoduje, że PCManFM-Qt deleguje zadanie do innego programu bez potwierdzenia użytkownika. Może to prowadzić do wykonania kodu lub obejścia ograniczeń przestrzeni nazw sieci.

CVE-2026-33712
Krytyczne

Typebot to narzędzie do budowy chatbotów, które w wersjach 3.15.2 i wcześniejszych ma lukę umożliwiającą nieautoryzowanym użytkownikom przeprowadzenie ataku typu Server-Side Request Forgery (SSRF) poprzez dostarczenie niestandardowej definicji typebota z blokami kodu po stronie serwera. Funkcja fetch w izolowanym środowisku nie weryfikuje poprawności URL, co pozwala na obejście zabezpieczeń SSRF.

PoprzedniaStrona 67 z 558Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS