Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-3325
Krytyczne

W MegaCMS w wersji 12.0.0 występuje podatność na wstrzykiwanie SQL (SQLi) w parametrze „id_territorio” punktu końcowego „/web_comunications/cms/get_provincias”. Problem wynika z niewystarczającej walidacji i sanitizacji danych wejściowych użytkownika.

CVE-2026-7333
Krytyczne

W Google Chrome przed wersją 147.0.7727.138 występowała podatność typu use after free w GPU, która mogła pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-41446
Krytyczne

Oprogramowanie układowe serii Snap One WattBox 800 i 820 w wersjach przed 2.10.0.0 zawiera nieujawnione punkty końcowe diagnostyczne HTTP, które wymagają jedynie adresu MAC urządzenia i tagu serwisowego do uwierzytelnienia. Oba te elementy są wydrukowane w postaci niezaszyfrowanej na etykiecie fizycznej urządzenia.

CVE-2026-41386
Krytyczne

OpenClaw przed wersją 2026.3.22 zawiera podatność na eskalację uprawnień, gdzie kody konfiguracyjne bootstrap nie są przypisane do zamierzonych ról i zakresów urządzeń podczas parowania. Atakujący mogą wykorzystać to podczas parowania urządzenia w pierwszym użyciu, aby zwiększyć swoje uprawnienia poza zamierzony zakres.

CVE-2026-3893
Krytyczne

Odbiornik GNSS Carlson VASCO-B nie posiada mechanizmu uwierzytelniania, co pozwala atakującemu z dostępem do sieci na bezpośredni dostęp i modyfikację jego konfiguracji oraz funkcji operacyjnych bez potrzeby posiadania poświadczeń.

CVE-2026-24178
Krytyczne

Dashboard NVIDIA NVFlare zawiera podatność w systemie zarządzania użytkownikami i uwierzytelnianiem, która pozwala nieautoryzowanemu atakującemu na obejście autoryzacji za pomocą klucza kontrolowanego przez użytkownika. Sukces w wykorzystaniu tej podatności może prowadzić do eskalacji uprawnień, manipulacji danymi, ujawnienia informacji, wykonania kodu oraz odmowy usługi.

CVE-2026-41873
Krytyczne

Podatność CVE-2026-41873 dotyczy niekonsekwentnej interpretacji żądań HTTP w Pony Mail, co może prowadzić do przejęcia konta administratora. Problem ten występuje we wszystkich wersjach implementacji Lua Pony Mail, która została wycofana.

CVE-2025-60889
Krytyczne

W StellarGroup HPX 1.11.0 stwierdzono niebezpieczną deserializację niezaufanych danych wejściowych, która w określonych warunkach może umożliwić atakującym zdalne wykonanie dowolnego kodu lub inne nieokreślone skutki.

CVE-2026-7321
Krytyczne

Podatność CVE-2026-7321 dotyczy błędu w warunkach granicznych w komponencie sieciowym WebRTC, co prowadzi do możliwości ucieczki z piaskownicy.

CVE-2026-7248
Krytyczne

Wykryto podatność w urządzeniu D-Link DI-8100 w wersji 16.07.26A1, która dotyczy funkcji tgfile_htm w pliku tgfile.htm komponentu CGI Endpoint. Manipulacja argumentem fn prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.

CVE-2026-7244
Krytyczne

W urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setWiFiEasyGuestCfg w pliku /cgi-bin/cstecgi.cgi, która umożliwia wstrzyknięcie poleceń systemowych poprzez manipulację argumentem merge.

CVE-2026-7243
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521. Problem dotyczy funkcji setRadvdCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem maxRtrAdvInterval prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7242
Krytyczne

W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność w funkcji setOpenVpnClientCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem 'enabled' może prowadzić do wstrzyknięcia poleceń systemowych, co może być przeprowadzone zdalnie.

CVE-2026-7241
Krytyczne

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do zdalnej iniekcji poleceń systemowych.

CVE-2026-7240
Krytyczne

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setVpnAccountCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem User prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7204
Krytyczne

W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność, która dotyczy funkcji setPptpServerCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-7203
Krytyczne

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setUrlFilterRules w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7202
Krytyczne

Wykryto podatność w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setWiFiWpsStart w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wscDisabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-32644
Krytyczne

Niektóre wersje oprogramowania układowego kamer Milesight AIOT wykorzystują certyfikaty SSL z domyślnymi kluczami prywatnymi. To może prowadzić do poważnych luk w bezpieczeństwie, umożliwiając nieautoryzowany dostęp do urządzeń.

CVE-2026-40976
Krytyczne

W pewnych okolicznościach domyślne zabezpieczenia sieciowe Spring Boot są nieskuteczne, umożliwiając nieautoryzowany dostęp do wszystkich endpointów. Podatność dotyczy aplikacji serwletowych, które nie mają własnej konfiguracji Spring Security i polegają na domyślnym łańcuchu filtrów, a także korzystają z spring-boot-actuator-autoconfigure bez spring-boot-health.

PoprzedniaStrona 95 z 561Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS