Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-34408
Krytyczne

W systemie Gambio w wersji 4.9.2.0 odkryto problem, który pozwala na ominięcie funkcji resetowania hasła, umożliwiając ustawienie dowolnych haseł dla dowolnych kont, jeśli znany jest identyfikator konta.

CVE-2026-43566
Krytyczne

Wersje OpenClaw 2026.4.7 przed 2026.4.14 zawierają podatność na eskalację uprawnień, w której logika obniżania uprawnień właściciela pomija zdarzenia webhook wake zawierające nieufne treści. Atakujący mogą wykorzystać tę lukę, wysyłając nieufne zdarzenia webhook wake, aby zachować kontekst wykonania podobny do właściciela, gdy powinno nastąpić obniżenie uprawnień.

CVE-2026-43534
Krytyczne

OpenClaw w wersjach przed 2026.4.10 zawiera podatność na niewłaściwą walidację danych wejściowych, która pozwala na dodawanie zewnętrznych metadanych hooków jako zaufanych zdarzeń systemowych. Atakujący mogą dostarczyć złośliwe nazwy hooków, co umożliwia eskalację niezaufanych danych do kontekstu agenta o wyższym poziomie zaufania.

CVE-2023-54344
Krytyczne

Eclipse Equinox OSGi w wersji 3.7.2 i wcześniejszych zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wysyłanie ładunków do interfejsu konsoli. Atakujący mogą połączyć się z portem konsoli OSGi i wysyłać polecenia bash zakodowane w base64, co prowadzi do wykonania kodu i nawiązania połączeń zwrotnych.

CVE-2023-54342
Krytyczne

Eclipse Equinox OSGi w wersjach od 3.8 do 3.18 zawiera podatność na zdalne wykonanie kodu w interfejsie konsoli, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu poprzez wykorzystanie funkcjonalności polecenia fork. Atakujący mogą nawiązać połączenie telnet z konsolą OSGi, przeprowadzić handshake telnet i wysłać polecenia fork w celu pobrania i wykonania złośliwego kodu Java, co prowadzi do ustanowienia połączenia reverse shell.

CVE-2026-40797
Krytyczne

W podatności CVE-2026-40797 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w aplikacji WebinarIgnition.

CVE-2026-7823
Krytyczne

W urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa. Funkcja setAppFilterCfg w pliku /cgi-bin/cstecgi.cgi jest podatna na wstrzyknięcie poleceń systemowych poprzez manipulację argumentem enable.

CVE-2026-5294
Krytyczne

Wtyczka Geeky Bot dla WordPressa jest podatna na brak autoryzacji w wersjach do 1.2.2 włącznie. Problem wynika z nopriv AJAX route, który pozwala atakującym na kontrolowanie modelu/funkcji oraz na instalację wtyczek z złośliwych plików ZIP.

CVE-2025-13618
Krytyczne

Wtyczka Mentoring dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.2.8 włącznie. Problem wynika z niewłaściwego ograniczenia ról, które użytkownicy mogą rejestrować w funkcji mentoring_process_registration().

CVE-2026-5722
Krytyczne

Wtyczka MoreConvert Pro dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.9.14. Problem wynika z braku unieważnienia lub regeneracji tokenów weryfikacyjnych, gdy zmienia się adres e-mail klienta.

CVE-2026-42238
Krytyczne

Nginx UI, interfejs webowy dla serwera Nginx, przed wersją 2.3.8, udostępniał punkt końcowy przywracania kopii zapasowej (POST /api/restore), który był całkowicie nieautoryzowany przez pierwsze 10 minut po uruchomieniu procesu na świeżej instalacji. Nieautoryzowany zdalny atakujący mógł przesłać spreparowaną archiwum kopii zapasowej, co prowadziło do nadpisania pliku konfiguracyjnego aplikacji oraz bazy danych SQLite.

CVE-2026-41926
Krytyczne

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzykiwanie poleceń systemowych w binarnym pliku firewall.cgi, wynikającą z niewystarczającej walidacji danych wejściowych. Atakujący mogą wstrzykiwać dowolne polecenia powłoki przez podatne parametry, co prowadzi do ich trwałego przechowywania w NVRAM.

CVE-2026-41925
Krytyczne

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzyknięcie poleceń systemowych w funkcji reboot_time binarnego pliku adm.cgi. Umożliwia to nieautoryzowanym atakującym zdalne wykonywanie dowolnych poleceń powłoki poprzez wstrzyknięcie złośliwego wejścia do parametru POST reboot_time.

CVE-2026-41924
Krytyczne

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzykiwanie poleceń systemowych w binarnym pliku makeRequest.cgi. Umożliwia to nieautoryzowanym atakującym zdalne wykonanie dowolnych poleceń powłoki poprzez wstrzykiwanie złośliwego wejścia w funkcje set_time lub StartSniffer.

CVE-2026-41923
Krytyczne

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzykiwanie poleceń systemowych w binarnym pliku internet.cgi, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki poprzez wstrzykiwanie złośliwego wejścia do parametru POST bramy.

CVE-2026-41922
Krytyczne

WDR201A WiFi Extender (HW V2.1, FW LFMZX28040922V1.02) zawiera podatność na wstrzyknięcie poleceń systemowych w binarnym pliku wireless.cgi, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń powłoki poprzez wstrzykiwanie złośliwego wejścia w parametrach POST sz11gChannel lub PIN. Atakujący mogą wykorzystać nieprawidłowe przetwarzanie parametrów w funkcjach set_wifi_basic i set_wifi_do_wps do zdalnego wykonania kodu bez autoryzacji.

CVE-2026-42235
Krytyczne

n8n to platforma automatyzacji procesów, która przed wersjami 1.123.32, 2.17.4 i 2.18.1 była podatna na atak nieautoryzowanego użytkownika, który mógł zarejestrować złośliwego klienta OAuth. Po autoryzacji przez ofiarę, złośliwy skrypt mógł zostać wykonany w sesji przeglądarki ofiary.

CVE-2026-42796
Krytyczne

Arelle w wersjach przed 2.39.10 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w punkcie końcowym /rest/configure, który akceptuje parametr zapytania plugins. Atakujący mogą dostarczyć URL do złośliwego pliku Python, co prowadzi do pobrania i wykonania kodu kontrolowanego przez atakującego.

CVE-2026-42088
Krytyczne

OpenC3 COSMOS przed wersją 7.0.0-rc3 umożliwia użytkownikom wykonywanie skryptów Python i Ruby z kontenera openc3-COSMOS-script-runner-api. Umożliwia to obejście kontroli uprawnień API i wykonywanie działań administracyjnych, w tym modyfikację danych w bazie Redis.

CVE-2026-42087
Krytyczne

W wersjach od 6.7.0 do przed 7.0.0-rc3 w komponencie bazy danych czasowych (TSDB) OpenC3 COSMOS występuje podatność na wstrzykiwanie SQL. Funkcja tsdb_lookup w pliku cvt_model.rb bez sanitizacji wprowadza dane użytkownika do zapytania SQL, co pozwala na wykonanie dowolnych poleceń SQL.

PoprzedniaStrona 90 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS