Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8153
Krytyczne

W interfejsie serwera Dashboard w wersjach PolyScope Universal Robots przed 5.25.1 występuje podatność na wstrzykiwanie poleceń systemowych, która pozwala nieautoryzowanemu atakującemu na tworzenie poleceń wykonujących kod w systemie operacyjnym robota.

CVE-2026-8076
Krytyczne

W panelu administracyjnym CashDro 3 w wersji 24.01.00.26 występują słabe dane uwierzytelniające, ponieważ system pozwala na użycie numerycznych PIN-ów do autoryzacji użytkowników. Atakujący może przeprowadzić atak brute-force, próbując różnych PIN-ów bez blokady konta.

CVE-2026-6213
Krytyczne

Podatność w Remote Spark SparkView przed wersją 1122 umożliwia atakującemu ominięcie lokalnej weryfikacji połączenia i uzyskanie dowolnego kodu wykonawczego jako root po stronie serwera. W zależności od implementacji, podatność może być wykorzystana przez nieautoryzowanego atakującego.

CVE-2013-10075
Krytyczne

Wersje Apache::Session do 1.94 dla Perla ponownie tworzą usunięte sesje. Sesje przechowywane w Apache::Session::Store::File i Apache::Session::Store::DB_File mogą być odtworzone, co prowadzi do sytuacji, w której dane, które miały zostać usunięte, mogą być ponownie dostępne.

CVE-2025-69691
Krytyczne

Netgate pfSense CE w wersji 2.8.0 umożliwia wykonanie kodu poprzez API XMLRPC za pomocą pfsense.exec_php. Chociaż dostawca kwestionuje tę podatność, ponieważ wywołanie API jest dostępne tylko dla administratorów, którzy mają intencjonalne uprawnienia do wykonywania kodu PHP.

CVE-2025-69690
Krytyczne

Netgate pfSense CE w wersji 2.7.2 umożliwia wykonanie kodu poprzez użycie instalatora modułów z plikiem kopii zapasowej zawierającym zserializowany obiekt PHP z właściwością post_reboot_commands.

CVE-2025-69599
Krytyczne

Silnik skanowania RayVentory w wersji do 12.6 Update 8 pozwala atakującym na uzyskanie uprawnień, jeśli kontrolują wartość zmiennej środowiskowej PATH. Istnieją kontrowersje dotyczące tej podatności, ponieważ możliwość kontrolowania środowiska zależy od specyficznej konfiguracji danego miejsca.

CVE-2025-67887
Krytyczne

1C-Bitrix w wersji 25.100.500 umożliwia zdalne wykonanie kodu, ponieważ użytkownik z uprawnieniami SOURCE/WRITE dla modułu Tłumaczeń może przesłać i wykonać kod, wysyłając plik PHP oraz plik .htaccess.

CVE-2023-46453
Krytyczne

Niektóre urządzenia GL.iNet z firmware 4.x umożliwiają obejście uwierzytelniania, co prowadzi do uzyskania administracyjnej kontroli nad urządzeniem. Problem ten dotyczy wersji 4.3.7 na modelach GL-MT3000, GL-AR300M, GL-B1300, GL-AX1800, GL-AR750S, GL-MT2500, GL-AXT1800, GL-X3000 oraz GL-SFT1200.

CVE-2024-51092
Krytyczne

LibreNMS w wersjach przed 24.10.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez wstrzyknięcie poleceń systemowych w metodach index() w AboutController.php, update() w SettingsController.php oraz initRrdDirectory() w PollDevice.php.

CVE-2026-43944
Krytyczne

Electerm, klient terminala/ssh/sftp/telnet/serialport/RDP/VNC/Spice/ftp, jest podatny na wykonanie dowolnego kodu lokalnego w wersjach od 3.0.6 do przed 3.8.15. Wykorzystanie podatności wymaga kliknięcia w spreparowany link electerm://... lub otwarcia spreparowanego skrótu/komendy.

CVE-2026-43941
Krytyczne

Electerm to klient terminala, który w wersjach 3.8.15 i wcześniejszych nie weryfikuje protokołów URL klikanych w terminalu. Atakujący mogą wykorzystać to do wykonania dowolnego kodu lub uzyskania dostępu do lokalnych plików na maszynie ofiary, jeśli ta kliknie w wyświetlony link.

CVE-2026-42208
KrytyczneAktywnie exploitowaneEPSS 100%

W wersjach LiteLLM od 1.81.16 do 1.83.7 występuje podatność polegająca na wstrzykiwaniu zapytań SQL podczas sprawdzania kluczy API. Niezautoryzowany atakujący może wysłać spreparowany nagłówek Authorization, co prowadzi do odczytu i potencjalnej modyfikacji danych w bazie proxy.

CVE-2026-41501
Krytyczne

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na dodanie złośliwych ciągów wersji do polecenia exec bez walidacji. Problem ten został naprawiony w wersji 3.3.8.

CVE-2026-41500
Krytyczne

W kliencie electerm przed wersją 3.3.8 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującemu na wprowadzenie złośliwego kodu do polecenia exec. Problem ten został naprawiony w wersji 3.3.8.

CVE-2026-42880
Krytyczne

W Argo CD w wersjach od 3.2.0 do 3.2.10 oraz od 3.3.0 do 3.3.8 brakuje autoryzacji i maskowania danych w punkcie końcowym ServerSideDiff. Umożliwia to atakującemu z dostępem tylko do odczytu wyodrębnienie danych Secret w postaci jawnego tekstu z etcd za pomocą mechanizmu Server-Side Apply dry-run serwera Kubernetes API.

CVE-2026-8034
Krytyczne

Zidentyfikowano podatność typu server-side request forgery (SSRF) w podglądzie notatników GitHub Enterprise Server, która pozwalała atakującemu na dostęp do wewnętrznych usług poprzez wykorzystanie niezgodności parsera URL między warstwą walidacji a biblioteką żądań HTTP.

CVE-2026-7891
Krytyczne

Aplikacja VerySecureApp stworzona przez DIVD przy użyciu Mendix Studio Pro 11.8.0 Beta umożliwia niezamierzone ujawnienie danych z powodu błędnej konfiguracji autoryzacji. Użytkownicy anonimowi w module MyFirstModule mogą uzyskać dostęp do wszystkich zapisanych rekordów, mimo że nie przypisano im wyraźnych praw dostępu.

CVE-2026-42826
Krytyczne

W Azure DevOps występuje podatność, która umożliwia nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji przez sieć.

CVE-2026-35428
Krytyczne

Nieprawidłowe neutralizowanie specjalnych elementów używanych w poleceniach ('iniekcja poleceń') w Azure Cloud Shell umożliwia nieautoryzowanemu atakującemu przeprowadzenie spoofingu w sieci.

PoprzedniaStrona 86 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS