Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-44125
Krytyczne

SEPPmail Secure Email Gateway przed wersją 15.0.4 nie wymusza kontroli autoryzacji dla wielu punktów końcowych w nowym interfejsie GINA, co pozwala nieautoryzowanym atakującym zdalnym na dostęp do funkcji, które powinny wymagać ważnej sesji.

CVE-2026-43341
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na przepełnienie bufora w funkcji ioam6_fill_trace_data(). Problem wynika z niewłaściwego przechowywania długości schematu, co prowadzi do pominięcia kontroli dostępnego miejsca w buforze śledzenia.

CVE-2026-41512
Krytyczne

W wersjach od 1.0.0 do przed 1.4.1 w narzędziu ai-scanner występuje podatność na zdalne wykonanie kodu poprzez wstrzyknięcie JavaScript w `BrowserAutomation::PlaywrightService`. Problem został naprawiony w wersji 1.4.1.

CVE-2026-41509
Krytyczne

Implementacja CROSS zawiera odniesienia oraz zoptymalizowane implementacje algorytmu podpisu post-kwantowego CROSS. Przed poprawką fc6b7e7 występował błąd przepełnienia bufora w funkcji crypto_sign_open() spowodowany niedoborem wartości całkowitej mlen.

CVE-2026-41507
Krytyczne

math-codegen generuje kod z wyrażeń matematycznych. Przed wersją 0.4.3, zawartość literałów stringowych przekazywanych do cg.parse() była wstrzykiwana bezpośrednio do ciała nowej funkcji bez sanitizacji, co umożliwiało atakującym wykonywanie dowolnych poleceń systemowych.

CVE-2026-41497
Krytyczne

PraisonAI to system wieloagentowy, który przed wersją 4.6.9 miał lukę w obsłudze komend MCP. Brakowało listy dozwolonych komend oraz walidacji argumentów w funkcji parse_mcp_command(), co pozwalało na wykonanie dowolnych programów, takich jak bash czy python, z flagami wykonania kodu.

CVE-2026-25199
Krytyczne

Rozszerzenie Proxmox dla Apache CloudStack umożliwia nieautoryzowany dostęp do instancji należących do innych najemców. Problem wynika z niewłaściwego użycia ustawienia instancji, co pozwala atakującym na modyfikację i uzyskanie kontroli nad maszynami wirtualnymi innych użytkowników.

CVE-2026-8153
Krytyczne

W interfejsie serwera Dashboard w wersjach PolyScope Universal Robots przed 5.25.1 występuje podatność na wstrzykiwanie poleceń systemowych, która pozwala nieautoryzowanemu atakującemu na tworzenie poleceń wykonujących kod w systemie operacyjnym robota.

CVE-2026-8076
Krytyczne

W panelu administracyjnym CashDro 3 w wersji 24.01.00.26 występują słabe dane uwierzytelniające, ponieważ system pozwala na użycie numerycznych PIN-ów do autoryzacji użytkowników. Atakujący może przeprowadzić atak brute-force, próbując różnych PIN-ów bez blokady konta.

CVE-2026-6213
Krytyczne

Podatność w Remote Spark SparkView przed wersją 1122 umożliwia atakującemu ominięcie lokalnej weryfikacji połączenia i uzyskanie dowolnego kodu wykonawczego jako root po stronie serwera. W zależności od implementacji, podatność może być wykorzystana przez nieautoryzowanego atakującego.

CVE-2013-10075
Krytyczne

Wersje Apache::Session do 1.94 dla Perla ponownie tworzą usunięte sesje. Sesje przechowywane w Apache::Session::Store::File i Apache::Session::Store::DB_File mogą być odtworzone, co prowadzi do sytuacji, w której dane, które miały zostać usunięte, mogą być ponownie dostępne.

CVE-2025-69691
Krytyczne

Netgate pfSense CE w wersji 2.8.0 umożliwia wykonanie kodu poprzez API XMLRPC za pomocą pfsense.exec_php. Chociaż dostawca kwestionuje tę podatność, ponieważ wywołanie API jest dostępne tylko dla administratorów, którzy mają intencjonalne uprawnienia do wykonywania kodu PHP.

CVE-2025-69690
Krytyczne

Netgate pfSense CE w wersji 2.7.2 umożliwia wykonanie kodu poprzez użycie instalatora modułów z plikiem kopii zapasowej zawierającym zserializowany obiekt PHP z właściwością post_reboot_commands.

CVE-2025-69599
Krytyczne

Silnik skanowania RayVentory w wersji do 12.6 Update 8 pozwala atakującym na uzyskanie uprawnień, jeśli kontrolują wartość zmiennej środowiskowej PATH. Istnieją kontrowersje dotyczące tej podatności, ponieważ możliwość kontrolowania środowiska zależy od specyficznej konfiguracji danego miejsca.

CVE-2025-67887
Krytyczne

1C-Bitrix w wersji 25.100.500 umożliwia zdalne wykonanie kodu, ponieważ użytkownik z uprawnieniami SOURCE/WRITE dla modułu Tłumaczeń może przesłać i wykonać kod, wysyłając plik PHP oraz plik .htaccess.

CVE-2023-46453
Krytyczne

Niektóre urządzenia GL.iNet z firmware 4.x umożliwiają obejście uwierzytelniania, co prowadzi do uzyskania administracyjnej kontroli nad urządzeniem. Problem ten dotyczy wersji 4.3.7 na modelach GL-MT3000, GL-AR300M, GL-B1300, GL-AX1800, GL-AR750S, GL-MT2500, GL-AXT1800, GL-X3000 oraz GL-SFT1200.

CVE-2024-51092
Krytyczne

LibreNMS w wersjach przed 24.10.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez wstrzyknięcie poleceń systemowych w metodach index() w AboutController.php, update() w SettingsController.php oraz initRrdDirectory() w PollDevice.php.

CVE-2026-43944
Krytyczne

Electerm, klient terminala/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp, jest podatny na wykonanie dowolnego kodu lokalnego w wersjach od 3.0.6 do przed 3.8.15. Wykorzystanie podatności wymaga kliknięcia w spreparowany link electerm://... lub otwarcia spreparowanego skrótu/komendy.

CVE-2026-43941
Krytyczne

Electerm to klient terminala, który w wersjach 3.8.15 i wcześniejszych nie weryfikuje protokołów URL klikanych w terminalu. Atakujący mogą wykorzystać to do wykonania dowolnego kodu lub uzyskania dostępu do lokalnych plików na maszynie ofiary, jeśli ta kliknie w wyświetlony link.

CVE-2026-42208
KrytyczneAktywnie exploitowaneEPSS 100%

W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.

PoprzedniaStrona 84 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS