Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-36760
Krytyczne

W wersji 5.15.1 JeeSite występuje problem z parametrem fileMd5 w punkcie końcowym /a/file/upload, który pozwala uwierzytelnionym atakującym z uprawnieniami do przesyłania plików na wykonanie ataku typu path traversal. Umożliwia to zapisanie dowolnych plików z dozwolonymi rozszerzeniami w dowolnych lokalizacjach systemu plików, gdy przesyłanie w kawałkach jest włączone.

CVE-2025-71284
Krytyczne

Oprogramowanie zarządzające bramą Synway SMG zawiera podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym konfiguracji RADIUS, co pozwala na zdalne wykonanie kodu.

CVE-2022-50993
Krytyczne

Weaver (Fanwei) E-office w wersjach przed 10.0_20221201 zawiera podatność na nieautoryzowane przesyłanie plików w punkcie końcowym OfficeServer.php. Umożliwia to zdalnym atakującym przesyłanie złośliwych plików poprzez wysyłanie wieloczęściowych żądań POST z dowolnymi nazwami plików i ukrytymi typami zawartości.

CVE-2026-4670
Krytyczne

Podatność CVE-2026-4670 w oprogramowaniu MOVEit Automation umożliwia obejście mechanizmu uwierzytelniania. Dotyczy to wersji od 2025.0.0 do przed 2025.0.9 oraz od 2024.0.0 do przed 2024.1.8, a także wersji wcześniejszych niż 2024.0.0.

CVE-2025-14543
Krytyczne

Podatność związana z niewłaściwym ograniczeniem odniesienia do zewnętrznych jednostek XML w RTI Connext Professional umożliwia zewnętrzne linkowanie danych serializowanych. Dotyczy to wersji Connext Professional od 7.4.0 do przed 7.7.0 oraz innych wymienionych wersji.

CVE-2026-7381
Krytyczne

Plack::Middleware::XSendfile w wersjach do 1.0053 dla Perla pozwala na modyfikację ścieżek przez klienta. Klient może ustawić nagłówek X-Sendfile-Type na 'X-Accel-Redirect', co umożliwia mapowanie ścieżki do dowolnego pliku na serwerze.

CVE-2018-25318
Krytyczne

Oprogramowanie układowe Tenda FH303/A300 w wersji V5.07.68_EN zawiera podatność na słabość sesji, która pozwala nieautoryzowanym atakującym na modyfikację ustawień DNS poprzez niewystarczającą walidację ciasteczek. Atakujący mogą wysyłać żądania GET do punktu końcowego /goform/AdvSetDns z odpowiednio skonstruowanym ciasteczkiem administratora, aby zmienić serwery DNS i przekierować ruch użytkowników na złośliwe strony.

CVE-2018-25317
Krytyczne

Routery bezprzewodowe Tenda W3002R/A302/W309R w wersji V5.07.64_en zawierają podatność na słabość sesji cookie, która pozwala nieautoryzowanym atakującym na modyfikację ustawień DNS. Atakujący mogą wysyłać żądania GET do punktu końcowego /goform/AdvSetDns z odpowiednio skonstruowanym cookie języka admina, aby zmienić serwery DNS.

CVE-2018-25316
Krytyczne

Tenda W308R v2 w wersji V5.07.48 zawiera podatność na słabość sesji cookie, która pozwala nieautoryzowanym atakującym na modyfikację ustawień DNS poprzez wykorzystanie niewystarczającej walidacji sesji. Atakujący mogą wysyłać żądania GET do punktu końcowego goform/AdvSetDns z odpowiednio skonstruowanym cookie języka admina, aby zmienić serwery DNS i przekierować ruch użytkowników na złośliwe strony.

CVE-2026-30893
Krytyczne

W Wazuh, od wersji 4.4.0 do przed wersją 4.14.4, występuje podatność typu path traversal w procedurze synchronizacji klastra, która pozwala uwierzytelnionemu uczestnikowi klastra na zapisanie dowolnych plików poza zamierzonym katalogiem na innych węzłach klastra. Może to prowadzić do wykonania kodu w kontekście usługi Wazuh poprzez nadpisanie modułów Pythona używanych przez komponenty Wazuh.

CVE-2026-26015
Krytyczne

DocsGPT, czat oparty na GPT do dokumentacji, ma lukę w wersjach od 0.15.0 do przed 0.16.0, która pozwala atakującemu na zdalne wykonanie kodu (RCE) poprzez złośliwy ładunek omijający test 'MCP'. Problem został naprawiony w wersji 0.16.0.

CVE-2026-5166
Krytyczne

Podatność typu 'Path Traversal' w TUBITAK BILGEM Software Technologies Research Institute Pardus Software Center umożliwia nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Problem dotyczy wersji Pardus Software Center przed 0.6.4.

CVE-2026-41940
Krytyczne

Wersje cPanel i WHM po 11.40 zawierają podatność na obejście uwierzytelniania w procesie logowania, co pozwala nieautoryzowanym zdalnym atakującym uzyskać dostęp do panelu sterowania.

CVE-2026-38992
Krytyczne

Cockpit w wersji 2.13.5 i wcześniejszych jest podatny na wykonanie dowolnego kodu poprzez parametr filter w wielu punktach końcowych. Ta podatność umożliwia atakującemu uruchamianie poleceń systemowych na infrastrukturze bazowej za pomocą operatora $func MongoLite.

CVE-2026-36841
Krytyczne

W urządzeniu TOTOLINK N200RE V5 odkryto podatność na wstrzykiwanie poleceń poprzez parametry macstr i bandstr w funkcji formMapDelDevice.

CVE-2026-42523
Krytyczne

Wtyczka Jenkins GitHub w wersji 1.46.0 i wcześniejszych niewłaściwie przetwarza URL bieżącego zadania w JavaScript, co prowadzi do podatności na przechowywane ataki XSS. Atakujący, którzy mają uprawnienia Overall/Read, mogą wykorzystać tę lukę.

CVE-2026-42249
Krytyczne

Ollama dla systemu Windows zawiera podatność na zdalne wykonanie kodu w swoim mechanizmie aktualizacji, spowodowaną niewłaściwym przetwarzaniem nagłówków odpowiedzi HTTP kontrolowanych przez atakującego. Aplikacja konstruuje lokalne ścieżki plików na podstawie wartości pochodzących z nagłówków HTTP bez walidacji, co umożliwia atakującym zapis plików w niezamierzonych lokalizacjach.

CVE-2026-42248
Krytyczne

Ollama dla systemu Windows nie przeprowadza weryfikacji integralności ani autentyczności pobranych plików aktualizacyjnych. W przeciwieństwie do innych platform, implementacja weryfikacji aktualizacji w systemie Windows zawsze zwraca sukces, co pozwala na akceptację i późniejsze wykonanie złośliwych plików przez aplikację.

CVE-2026-3325
Krytyczne

W MegaCMS w wersji 12.0.0 występuje podatność na wstrzykiwanie SQL (SQLi) w parametrze „id_territorio” punktu końcowego „/web_comunications/cms/get_provincias”. Problem wynika z niewystarczającej walidacji i sanitizacji danych wejściowych użytkownika.

CVE-2026-7333
Krytyczne

W Google Chrome przed wersją 147.0.7727.138 występowała podatność typu use after free w GPU, która mogła pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

PoprzedniaStrona 94 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS