Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-24118
KrytyczneEPSS 56%

Podatność w bibliotece vm2 dla Node.js umożliwia ucieczkę z piaskownicy i wykonanie dowolnych poleceń na systemie hosta. Problem został załatany w wersji 3.11.0.

CVE-2025-13605
Krytyczne

Urządzenie bramy modbus 3onedata model GW1101-1D(RS-485)-TB-P (wersja sprzętowa V2.2.0) pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych poleceń powłoki w kontekście użytkownika root, poprzez wprowadzenie ładunku w polu 'adres IP' narzędzi diagnostycznych.

CVE-2025-70067
Krytyczne

W bibliotece Assimp w wersjach do 6.0.2 wykryto podatność na przepełnienie bufora w importerze FBX. Problem występuje w funkcji aiMaterial::AddBinaryProperty, gdzie klucz właściwości z spreparowanego pliku FBX jest kopiowany do stałego bufora na stercie za pomocą strcpy() bez walidacji długości.

CVE-2026-7482
Krytyczne

Ollama w wersjach przed 0.17.1 zawiera podatność na odczyt poza granicami sterty w loaderze modelu GGUF. Punkt końcowy /api/create akceptuje plik GGUF dostarczony przez atakującego, w którym zadeklarowany offset tensora i rozmiar przekraczają rzeczywistą długość pliku, co prowadzi do odczytu pamięci poza przydzielonym buforem.

CVE-2026-7747
Krytyczne

W Totolink N300RH w wersji 3.2.4-B20220812 odkryto lukę bezpieczeństwa w funkcji loginauth pliku /cgi-bin/cstecgi.cgi, która dotyczy komponentu Parameter Handler. Manipulacja argumentem Password prowadzi do przepełnienia bufora, co może być wykorzystane w atakach zdalnych.

CVE-2025-14320
Krytyczne

W aplikacji wsparcia online firmy Tegsoft Management and Information Services Trade Limited Company występuje podatność na atak typu 'cross-site scripting' (XSS) z powodu niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych. Problem ten dotyczy wersji aplikacji od V3 do 31122025.

CVE-2026-29200
Krytyczne

Odkryto krytyczną podatność IDOR w Comet Backup, która dotyczy wszystkich wersji od 20.11.0 do 26.1.1 oraz 26.2.1. Podatność ta pozwala administratorowi najemcy na podszywanie się pod konto końcowego użytkownika innego najemcy na tym samym serwerze za pomocą podatnego wywołania API.

CVE-2026-7719
Krytyczne

W urządzeniu Totolink WA300 5.2cu.7112_B20190227 odkryto lukę bezpieczeństwa w funkcji loginauth pliku /cgi-bin/cstecgi.cgi, która dotyczy komponentu obsługi żądań POST. Manipulacja argumentem http_host prowadzi do przepełnienia bufora.

CVE-2026-7372
Krytyczne

W funkcjonalności logowania serwera WebCam w GeoVision GV-VMS V20 20.0.2 występuje podatność na przepełnienie stosu. Specjalnie skonstruowane żądanie HTTP może prowadzić do wykonania dowolnego kodu.

CVE-2026-7161
Krytyczne

W funkcjonalności uwierzytelniania urządzeń w GeoVision GV-IP Device Utility 9.0.5 występuje luka związana z niewystarczającym szyfrowaniem. Podsłuchiwanie pakietów broadcastowych może prowadzić do wycieku danych uwierzytelniających.

CVE-2026-42370
Krytyczne

W funkcjonalności logowania serwera WebCam w GeoVision GV-VMS V20 20.0.2 występuje podatność na przepełnienie stosu. Specjalnie skonstruowane żądanie HTTP może prowadzić do wykonania dowolnego kodu.

CVE-2026-42369
Krytyczne

GV-VMS V20 to oprogramowanie do monitoringu wideo, które umożliwia zdalny dostęp do zarządzania i monitorowania kamer. Wykryto podatność na przepełnienie stosu w mechanizmie dekodowania base64, co może ułatwić atakującemu wykorzystanie tej luki.

CVE-2026-42368
Krytyczne

W funkcjonalności interfejsu webowego urządzeń GeoVision LPC2011/LPC2211 w wersji 1.10 występuje podatność na eskalację uprawnień. Specjalnie skonstruowane żądanie HTTP może prowadzić do wykonania operacji z uprawnieniami administratora.

CVE-2026-42364
KrytyczneEPSS 73%

W funkcjonalności DdnsSetting.cgi w urządzeniach GeoVision LPC2011/LPC2211 w wersji 1.10 występuje podatność na wstrzyknięcie poleceń systemowych. Specjalnie przygotowana konfiguracja DDNS może prowadzić do wykonania dowolnych poleceń.

CVE-2026-7458
Krytyczne

Wtyczka User Verification by PickPlugins dla WordPress jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 2.0.46 włącznie. Problem wynika z użycia luźnego operatora porównania PHP do walidacji kodów OTP w funkcji 'user_verification_form_wrap_process_otpLogin'.

CVE-2026-4882
Krytyczne

Wtyczka User Registration Advanced Fields dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'URAF_AJAX::method_upload' we wszystkich wersjach do 1.6.20 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-37541
Krytyczne

W podatności CVE-2026-37541 występuje przepełnienie bufora w systemie Open Vehicle Monitoring System 3 (OVMS3) w wersji 3.3.005. Nieprawidłowa walidacja pola długości w danych binarnych GVRET umożliwia zdalnym atakującym spowodowanie odmowy usługi lub potencjalne wykonanie dowolnego kodu za pomocą spreparowanych ramek GVRET.

CVE-2026-37539
Krytyczne

W podatności CVE-2026-37539 występuje przepełnienie bufora w wersji 2.0.0 oprogramowania cannelloni, które występuje podczas analizy ramek CAN w funkcjach parseCANFrame oraz decodeFrame. Umożliwia to zdalnym atakującym spowodowanie awarii systemu lub potencjalne wykonanie dowolnego kodu za pomocą spreparowanych ramek CAN FD.

CVE-2026-37534
Krytyczne

W podatności CVE-2026-37534 występuje problem z niedoborem wartości całkowitej w Open-SAE-J1939, co pozwala atakującym na zapis do dowolnej pamięci poprzez spreparowany numer sekwencyjny z ramki CAN.

CVE-2026-37531
Krytyczne

Framework aplikacji AGL w wersjach do 17.1.12 zawiera podatność typu Zip Slip, która umożliwia przejście przez ścieżki oraz warunek wyścigu TOCTOU w procesie instalacji widgetów. Funkcja is_valid_filename nie sprawdza sekwencji przejścia przez katalogi w notacji kropkowej, co pozwala na zapis plików w dowolnym miejscu w systemie plików.

PoprzedniaStrona 92 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS