#cve
53 wpisów
Krytyczna luka w MySQL Shell (CVE-2026-46850) z oceną CVSS 9.9
Luka CVE-2026-46850 w rozszerzeniu MySQL Shell do VS Code otrzymała ocenę 9.9/10. Pozwala na przejęcie kontroli przez atakującego z niskimi uprawnieniami.
Krytyczna luka w Kids Online Store: RCE przez upload plików (CVE-2026-40750)
Luka CVE-2026-40750 z oceną 9.9/10 pozwala na przejęcie serwera w skrypcie sklepu Kids Online Store. Dotyczy to wszystkich wersji do 0.8.9 i nie wymaga…
CVE-2026-1220: Pilna aktualizacja Chrome, luka dotyczy też Edge i Opery
Google wydało pozaplanową aktualizację dla Chrome, łatającą lukę CVE-2026-1220 w silniku V8. Problem dotyczy wszystkich przeglądarek opartych na Chromium…
Krytyczna luka DoS w Erlang/OTP zagraża systemom wysokiej dostępności
Luka CVE-2026-49759 z oceną CVSS 8.2 może pozwolić na zdalne wywołanie awarii w aplikacjach opartych o Erlang/OTP. Dotyczy to m.in. systemów…
Luka w Ivanti EPMM (CVE-2026-10727) pozwala na przejęcie serwera
Nowa luka w Ivanti EPMM z oceną CVSS 7.2 pozwala uwierzytelnionym atakującym na zdalne wykonanie kodu z uprawnieniami roota. Polskie firmy powinny…
Luka w Azure Kubernetes Service: Lokalne wykonanie kodu (CVE-2026-32193)
Microsoft załatał lukę typu path traversal w Azure Kubernetes Service. Podatność oznaczona jako CVE-2026-32193 i oceniona na 8.8/10 w skali CVSS pozwala…
Luka w samlify (CVE-2026-46490): Eskalacja uprawnień w systemach SSO Node.js
Wykryto lukę w popularnej bibliotece `samlify` do obsługi SAML. Umożliwia ona eskalację uprawnień przez wstrzyknięcie XML, co stanowi ryzyko dla polskich…
SQL Injection w systemie CodeAstro Student Attendance. Publiczny exploit.
Wykryto podatność SQL Injection w systemie do zarządzania frekwencją studentów. Publicznie dostępny exploit stwarza ryzyko wycieku danych w polskich…
Check Point: Luka CVE-2026-50752 w IKEv1 zagraża tunelom VPN
Luka w przestarzałym protokole IKEv1 w produktach Check Point może pozwolić na przechwycenie ruchu VPN. Problem oznaczony jako CVE-2026-50752 otrzymał…
Luka RCE we wtyczce WordPress Augmented-Reality (CVE-2023-54350)
Luka CVE-2023-54350 z oceną CVSS 7.5 pozwala na zdalne wykonanie kodu we wtyczce Augmented-Reality dla WordPress. Nieautoryzowany atakujący może przejąć…
CVE-2026-11435: Zdalne wykonanie zapytań SQL w Jinher OA
Ujawniono lukę SQL Injection w Jinher OA 1.0, pozwalającą na zdalny atak. Producent nie opublikował poprawki, a kod exploita jest publicznie dostępny.
Krytyczna luka RCE w motywie WordPress Seotheme (CVE-2023-54352)
Luka w popularnym motywie WordPress Seotheme otrzymała wysoką ocenę 9.8/10. Pozwala na zdalne wykonanie kodu bez uwierzytelnienia, co może umożliwić pełne…
Krytyczna luka w guardrails-ai: złośliwy pakiet w PyPI kradł klucze API
Zidentyfikowano krytyczną lukę CVE-2026-45758 (CVSS 9.6) w pakiecie Pythona guardrails-ai. Złośliwa wersja 0.10.1, dostępna przez dwie godziny, mogła…
Luka SQL Injection w popularnej wtyczce WordPress Google Review Slider
Wtyczka Google Review Slider w wersji 6.1 jest podatna na atak SQL injection. Luka oznaczona jako CVE-2019-25745 pozwala na nieautoryzowane wyciągnięcie…
SolarWinds Serv-U: Luka DoS aktywnie wykorzystywana. Alert CVE-2026-28318
Luka CVE-2026-28318 w SolarWinds Serv-U pozwala na zdalne wywołanie awarii usługi. CISA potwierdza aktywne ataki i dodaje ją do katalogu KEV, co wymaga…
CVE-2026-3820: Luka w serwerach Supermicro pozwala na zdalne przejęcie
Luka w kontrolerach BMC serwerów Supermicro pozwala na zdalne wykonanie kodu. Problem dotyczy popularnego sprzętu, również w polskich centrach danych, i…
CVE-2026-0611: Krytyczna luka RCE w oprogramowaniu medycznym Sentinel
Luka w Spacelabs Sentinel z oceną CVSS 9.8 pozwala na zdalne wykonanie kodu. Problem dotyczy niestandardowych konfiguracji sieciowych, ale stanowi wzór…
Luka w Bitdefender Napoca. Analiza CVE-2026-10047
Wycofany hiperwizor Bitdefender Napoca zawiera lukę pozwalającą na atak z maszyny wirtualnej. Analizujemy CVE-2026-10047 jako studium przypadku…
CVE-2026-42252: Błąd w dokumentacji Airflow prowadzi do wykonania kodu
Luka CVE-2026-42252 w Apache Airflow, z oceną 9.1 CVSS, wynika z niebezpiecznego przykładu w oficjalnej dokumentacji. Jego skopiowanie może pozwolić…
CVE-2026-45505: Krytyczna luka RCE w Apache ActiveMQ
Nowa luka w Apache ActiveMQ omija wcześniejsze poprawki, pozwalając uwierzytelnionemu atakującemu na zdalne wykonanie kodu. Problem dotyczy popularnych w…
CVE-2026-10184: SQL Injection w systemie danych medycznych
Publicznie dostępny exploit pozwala na zdalne wstrzyknięcie SQL w systemie do zarządzania danymi pacjentów. Analizujemy wektor i implikacje dla polskich…
Luka SQLi w systemie medycznym. Publiczny exploit zagraża danym pacjentów
Luka o powadze 7.3/10 w systemie do zarządzania danymi pacjentów pozwala na zdalne przejęcie bazy danych. Dostępny jest publiczny kod ataku, co zwiększa…
RCE w popularnej wtyczce WordPress Spectra. Brak łatki.
Wtyczka Spectra dla WordPress ma krytyczną lukę RCE. Uwierzytelniony użytkownik może przejąć serwer. Brak oficjalnej łatki, zalecamy natychmiastowy audyt…
Luka w Apache MINA SSHD (CVE-2026-48827) pozwala na odczyt plików
Wykryto lukę path traversal w popularnej bibliotece Java do obsługi SSH. Umożliwia ona uwierzytelnionym użytkownikom dostęp do repozytoriów Git poza…
Krytyczna luka w diodach danych Waterfall. RCE bez uwierzytelnienia
Luka CVE-2025-41274 w diodach danych Waterfall WF-500 uzyskała ocenę 9.8/10. Umożliwia zdalne wykonanie kodu i stanowi ryzyko dla systemów kontroli…
Krytyczna luka w bramach Waterfall WF-500: Zdalne przejęcie kontroli
Luka z oceną 9.8 CVSS w popularnych bramach przemysłowych Waterfall WF-500 pozwala na pełne przejęcie kontroli bez uwierzytelniania. Problem dotyczy…
Krytyczna luka w Entra ID (CVE-2026-42901): Eskalacja do admina
Luka z oceną CVSS 10.0 w Microsoft Entra ID umożliwia zdalną eskalację uprawnień. Atakujący może przejąć kontrolę nad infrastrukturą chmurową firmy bez…
Krytyczna luka RCE w Azure Orbital Spatio (CVE-2026-40412)
Microsoft załatał krytyczną lukę RCE w usłudze Azure Orbital Spatio, ocenioną na 10.0 w skali CVSS. Atak nie wymagał uwierzytelnienia i mógł prowadzić do…
Krytyczna luka RCE w routerze Totolink A8000RU (CVE-2026-9454)
Luka o krytyczności 9.8/10 w routerze Totolink A8000RU pozwala na zdalne wykonanie kodu. Publicznie dostępny exploit zwiększa ryzyko przejęcia urządzenia.
CVE-2026-48172: atak na cPanel i LiteSpeed
Krytyczna luka w popularnej wtyczce LiteSpeed do cPanel pozwala na przejęcie serwera. Problem dotyczy wielu polskich firm hostingowych i jest aktywnie…
Luka w Chrome (CVE-2026-9120) pozwala na zdalne wykonanie kodu
Krytyczna luka w Google Chrome umożliwia przejęcie kontroli nad przeglądarką po wejściu na spreparowaną stronę. Aktualizacja jest dostępna i konieczna do…
CVE-2026-8632: Eskalacja uprawnień w sterownikach HP dla Linuksa
Luka w sterownikach HP dla Linuksa (HPLIP) pozwala na eskalację uprawnień. Problem dotyczy wersji poniżej 3.26.4 i nie ma jeszcze oficjalnej łatki.
Krytyczna luka w Thunderbird
Wykryto krytyczną lukę w kliencie poczty Thunderbird, ocenioną na 9.8 w skali CVSS. Błąd umożliwia zdalne wykonanie kodu bez interakcji użytkownika…
CVE-2025-51427: RCE w ModelScope. Zagrożenie dla projektów AI
Luka CVE-2025-51427 w popularnej bibliotece AI ModelScope pozwala na zdalne wykonanie kodu. Polskie zespoły data science powinny zweryfikować używane modele.
Apache Camel: Krytyczna luka CVE-2026-47323 pozwala na RCE
Luka w Apache Camel z oceną 9.8 CVSS pozwala na zdalne wykonanie kodu. Problem dotyczy popularnych komponentów CXF i Knative. Aktualizacja jest krytyczna.
Joplin: path traversal pozwala nadpisać pliki
Luka w popularnej aplikacji do notatek Joplin pozwala na nadpisanie dowolnych plików na dysku po zaimportowaniu złośliwego pliku .one. Problem dotyczy…
Krytyczna luka w starej wtyczce WordPress. Analiza CVE-2018-25335
Luka w zapomnianej wtyczce Peugeot Music 1.0 z oceną CVSS 9.8 pozwala na zdalne wykonanie kodu. Analizujemy ten przypadek jako przestrogę dla polskich…
Luka SQL Injection w turbinach Nordex
Krytyczna luka SQL injection (CVSS 8.2) w serwerze webowym popularnych turbin wiatrowych Nordex N149/4.0-4.5 pozwala na zdalne ominięcie logowania i…
Luka RCE w Microsoft Edge (CVE-2026-45495) – pilna aktualizacja
Wykryto lukę w Microsoft Edge z wynikiem CVSS 8.8, która pozwala na zdalne wykonanie kodu. Microsoft opublikował poprawkę. Aktualizacja jest krytyczna dla…
SQL Injection w SOGo (CVE-2026-8851) pozwala na wyciek danych
Luka SQL Injection w serwerze pocztowym SOGo (CVE-2026-8851) pozwala uwierzytelnionym użytkownikom na ekstrakcję dowolnych danych z bazy. Problem dotyczy…
PostgreSQL: Luka SQL Injection (CVE-2026-6476) w wersjach 17 i 18
Wykryto lukę SQL injection w PostgreSQL pozwalającą na eskalację uprawnień do poziomu superużytkownika. Problem dotyczy wersji 17 i 18. Rekomendowana jest…
CVE-2026-6637: Luka w PostgreSQL pozwala na wykonanie kodu
Wykryto 11 luk w PostgreSQL, w tym krytyczną CVE-2026-6637. Umożliwia ona nieuprzywilejowanemu użytkownikowi bazy danych wykonanie dowolnego kodu na…
CVE-2026-8295: luka w simdjson, polski wkład
Ujawniono podatność w popularnej bibliotece simdjson, która może prowadzić do ujawnienia informacji. Zgłoszenia dokonali polscy badacze, a proces…
CVE-2025-8890: Wstrzyknięcie poleceń w routerach SDMC NE6037
Podatność w routerach SDMC NE6037 pozwala na wykonanie kodu po zalogowaniu. Luka została zgłoszona przez polskiego badacza, a aktualizacja jest krytyczna.
SQL Injection w Simple.ERP (CVE-2026-1198)
Wykryto podatność SQL Injection w popularnym polskim systemie ERP. Problem dotyczy wszystkich wersji Simple.ERP poniżej 6.30@A04.4_u06 i wymaga…
CVE-2025-12465: Blind SQL Injection w systemie QuickCMS
W popularnym systemie CMS QuickCMS w wersji 6.8 wykryto podatność CVE-2025-12465. Umożliwia ona ataki typu Blind SQL Injection, a producent nie dostarczył…
CVE-2025-10910: Zdalne przejęcie kontroli nad urządzeniami Govee
Wykryto lukę w popularnych urządzeniach IoT marki Govee, która pozwala na zdalne przejęcie kontroli. Proces ujawnienia koordynował CERT Polska. Producent…
mObywatel na iOS: dane widoczne w App Switcher
W aplikacji mObywatel na iOS zidentyfikowano lukę CVE-2025-11598. Umożliwia ona podgląd danych osobowych w przełączniku aplikacji, nawet po wylogowaniu…
Alert: Luka XSS w Verint Verba zagraża danym administratorów
Nieuwierzytelniony atakujący może przejąć sesję administratora w popularnym systemie do rejestracji interakcji Verint Verba. Podatność typu Stored XSS…
Majowy Patch Tuesday i nowa era łatek. Czy AI zalewa nas lukami?
Majowy Patch Tuesday od Microsoftu przyniósł ponad 100 poprawek, ale to tylko część obrazu. Giganci technologiczni, wspomagani przez AI, publikują…
Krytyczne luki w DHTMLX: RCE i odczyt plików
Trzy podatności w popularnych komponentach DHTMLX, w tym jedna umożliwiająca zdalne wykonanie kodu (RCE). Polskie firmy używające Diagram, Gantt lub…
Krytyczne luki w Comarch ERP Optima — ryzyko przejęcia danych
Wykryto dwie podatności w popularnym polskim systemie ERP, umożliwiające eskalację uprawnień i zdalne wykonanie kodu. Producent opublikował krytyczną…
Krytyczna luka RCE w SzafirHost od KIR (CVE-2026-44088)
W oprogramowaniu SzafirHost od Krajowej Izby Rozliczeniowej wykryto krytyczną podatność CVE-2026-44088. Umożliwia zdalne wykonanie kodu i wymaga…