Centrum bezpieczeństwa: najnowsze podatności CVE

Aktualne zagrożenia i podatności wybrane pod kątem infrastruktury DataHouse: Linux, Windows Server, wirtualizacja, bazy danych, usługi sieciowe i aplikacje biznesowe.

Lista ostatnich zagrożeń

Ostatnie CVE istotne dla infrastruktury serwerowej

Feed jest budowany z NVD, CISA KEV i EPSS, a następnie tłumaczony i cache'owany dla użytkowników DataHouse.

Administracja serwerów
CVE-2026-50751CVSS 9.3CISA KEVMail

Krytyczna luka uwierzytelniania w Check Point Security Gateway

W Check Point Security Gateway wykryto poważną lukę w uwierzytelnianiu dotyczącą przestarzałej wymiany kluczy IKEv1, która pozwala nieautoryzowanemu atakującemu na ominięcie uwierzytelniania użytkownika i nawiązanie połączenia VPN bez ważnego hasła.

Aktualizacja: 2026-06-17
CVE-2026-10520CVSS 10.0CISA KEVVPN

Krytyczna luka OS Command Injection w Ivanti Sentry

W Ivanti Sentry wykryto krytyczną lukę OS Command Injection umożliwiającą zdalnemu, nieautoryzowanemu użytkownikowi wykonanie kodu na poziomie root. Luka dotyczy wersji przed R10.5.2, R10.6.2 oraz R10.7.1.

Aktualizacja: 2026-06-17
CVE-2008-4250CVSS 9.8CISA KEVWindows

Krytyczna luka przepełnienia bufora w Microsoft Windows (CVE-2008-4250)

Usługa Server w systemach Microsoft Windows 2000 SP4, XP SP2/SP3, Server 2003 SP1/SP2, Vista Gold/SP1, Server 2008 oraz 7 Pre-Beta zawiera krytyczną lukę przepełnienia bufora umożliwiającą zdalne wykonanie kodu poprzez specjalnie spreparowane żądanie RPC. L...

Aktualizacja: 2026-06-16
CVE-2026-33017CVSS 9.3CISA KEVRuntime

Krytyczna luka w Langflow umożliwiająca zdalne wykonanie kodu

W Langflow w wersjach przed 1.9.0 endpoint POST /api/v1/build_public_tmp/{flow_id}/flow pozwala na tworzenie publicznych przepływów bez uwierzytelniania i akceptuje dane zawierające złośliwy kod Python, co prowadzi do zdalnego wykonania kodu bez autoryzacji...

Aktualizacja: 2026-06-17
CVE-2026-39987CVSS 9.3CISA KEVRuntime

Krytyczna luka RCE w Marimo umożliwia zdalne wykonanie kodu bez uwierzytelnienia

W Marimo, reaktywnym notatniku Python, do wersji 0.23.0 występuje luka zdalnego wykonania kodu (RCE) bez uwierzytelnienia. Punkt końcowy WebSocket /terminal/ws nie weryfikuje uwierzytelnienia, co pozwala atakującemu na uzyskanie pełnej powłoki PTY i wykonan...

Aktualizacja: 2026-06-17
CVE-2026-21643CVSS 9.8CISA KEVFirewall

Krytyczna luka SQL Injection w Fortinet FortiClient EMS

W Fortinet FortiClient EMS w wersji 7.4.4 wykryto krytyczną lukę SQL Injection, która pozwala nieautoryzowanemu atakującemu na wykonanie nieuprawnionych poleceń poprzez specjalnie spreparowane żądania HTTP. Luka ta może prowadzić do poważnych naruszeń bezpi...

Aktualizacja: 2026-06-17
CVE-2026-35616CVSS 9.8CISA KEVFirewall

CVE-2026-35616: Luka w kontroli dostępu Fortinet FortiClient EMS

W Fortinet FortiClient EMS w wersjach 7.4.5 do 7.4.6 wykryto krytyczną lukę w kontroli dostępu, która może pozwolić nieautoryzowanemu atakującemu na wykonanie nieautoryzowanego kodu lub poleceń poprzez specjalnie spreparowane żądania. Luka ta została ocenio...

Aktualizacja: 2026-06-17
CVE-2026-20253CVSS 9.8CISA KEVDatabase

CVE-2026-20253: Brak uwierzytelniania w krytycznej funkcji Splunk Enterprise

W Splunk Enterprise w wersjach 10.2 poniżej 10.2.4 oraz 10 poniżej 10.0.7 występuje luka umożliwiająca nieautoryzowanym użytkownikom tworzenie lub nadpisywanie plików poprzez endpoint usługi PostgreSQL sidecar. Luka wynika z braku kontroli uwierzytelniania ...

Aktualizacja: 2026-06-19
CVE-2026-9082CVSS 9.8CISA KEVCMS

Krytyczna luka SQL Injection w rdzeniu Drupal

W rdzeniu Drupal wykryto krytyczną lukę SQL Injection, umożliwiającą atakującemu wstrzyknięcie złośliwych poleceń SQL. Luka dotyczy wersji od 8.9.0 do 10.4.10, 10.5.0 do 10.5.10, 10.6.0 do 10.6.9, 11.0.0 do 11.1.10, 11.2.0 do 11.2.12 oraz 11.3.0 do 11.3.10.

Aktualizacja: 2026-06-17
CVE-2026-33634CVSS 9.4CISA KEVContainers

Krytyczna luka w Aquasecurity Trivy umożliwiająca wprowadzenie złośliwego kodu

W marcu 2026 roku doszło do ataku na łańcuch dostaw narzędzia Trivy, w wyniku którego opublikowano złośliwą wersję 0.69.4 oraz zmodyfikowano znaczniki wersji w powiązanych akcjach GitHub. Atakujący wykorzystali skradzione poświadczenia, co pozwoliło na krad...

Aktualizacja: 2026-06-17
CVE-2026-31431CVSS 7.8CISA KEVLinux

CVE-2026-31431: Luka w jądrze Linux dotycząca nieprawidłowego transferu zasobów

W jądrze Linux naprawiono lukę w module crypto: algif_aead, która polegała na nieprawidłowym transferze zasobów między różnymi obszarami pamięci. Poprawka cofa wcześniejszą zmianę wprowadzającą operacje na miejscu, eliminując złożoność i ryzyko błędów.

Aktualizacja: 2026-07-01
CVE-2026-42208CVSS 9.3CISA KEVKnown Exploited

BerriAI LiteLLM: Krytyczna luka SQL Injection weryfikacji klucza API

W LiteLLM w wersjach od 1.81.16 do przed 1.83.7 występuje krytyczna luka SQL Injection podczas sprawdzania klucza API. Atakujący może wysłać spreparowany nagłówek Authorization, co pozwala na nieautoryzowany dostęp i potencjalną modyfikację danych w bazie p...

Aktualizacja: 2026-06-29
CVE-2026-3055CVSS 9.3CISA KEVKnown Exploited

Krytyczna luka w Citrix NetScaler umożliwiająca odczyt pamięci poza granicami

W NetScaler ADC i NetScaler Gateway firmy Citrix wykryto krytyczną lukę polegającą na niewystarczającej walidacji danych wejściowych podczas konfiguracji jako SAML IDP, co prowadzi do odczytu pamięci poza dozwolonym zakresem. Luka ta może zostać wykorzystan...

Aktualizacja: 2026-06-17
CVE-2026-34910CVSS 10.0CISA KEVKnown Exploited

Krytyczna luka w Ubiquiti UniFi OS umożliwiająca wykonanie poleceń

W urządzeniach UniFi OS firmy Ubiquiti wykryto krytyczną lukę w walidacji danych wejściowych, która może pozwolić atakującemu z dostępem do sieci na wykonanie zdalnego wstrzyknięcia poleceń. Luka ta została sklasyfikowana jako krytyczna z najwyższym wynikie...

Aktualizacja: 2026-06-24
CVE-2026-48172CVSS 10.0CISA KEVKnown Exploited

Luka eskalacji uprawnień w wtyczce LiteSpeed cPanel

Wtyczka LiteSpeed User-End cPanel w wersjach przed 2.4.5 umożliwia eskalację uprawnień, potencjalnie do poziomu root, co zostało wykorzystane w atakach w maju 2026 roku. Wykrywanie incydentów polega na przeszukaniu logów za pomocą określonego polecenia grep...

Aktualizacja: 2026-06-17
CVE-2026-45321CVSS 9.6CISA KEVDNS

Krytyczna luka w TanStack umożliwiająca publikację złośliwego oprogramowania

W dniu 11 maja 2026 roku opublikowano 84 złośliwe wersje w 42 pakietach @tanstack/* w rejestrze npm, wykorzystując łańcuch trzech luk bezpieczeństwa w GitHub Actions. Atakujący wykorzystali błędną konfigurację pull_request_target, zatrucie cache GitHub Acti...

Aktualizacja: 2026-06-17
CVE-2010-0249CVSS 8.8CISA KEVWindows

Luka Use-After-Free w Microsoft Internet Explorer

W Microsoft Internet Explorer 6, 7 i 8 wykryto poważną lukę use-after-free, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez dostęp do wskaźnika powiązanego z usuniętym obiektem. Luka ta była wykorzystywana w atakach Operation Aurora na ...

Aktualizacja: 2026-06-16
CVE-2025-34291CVSS 9.4CISA KEVKnown Exploited

Krytyczna luka w Langflow umożliwiająca przejęcie konta i wykonanie zdalnego kodu

Wersje Langflow do 1.6.9 włącznie zawierają poważną lukę bezpieczeństwa wynikającą z błędnej konfiguracji CORS i ciasteczek refresh token, co pozwala na przejęcie sesji użytkownika oraz wykonanie zdalnego kodu. Atakujący może uzyskać ważne tokeny dostępu i ...

Aktualizacja: 2026-06-17
CVE-2009-1537CVSS 8.8CISA KEVWindows

Luka w Microsoft DirectX umożliwiająca nadpisanie NULL Byte

W bibliotece quartz.dll w DirectShow Microsoft DirectX 7.0 do 9.0c wykryto poważną lukę pozwalającą na zdalne wykonanie kodu poprzez specjalnie spreparowany plik QuickTime. Luka ta była aktywnie wykorzystywana w maju 2009 roku i dotyczy systemów Windows 200...

Aktualizacja: 2026-06-16
CVE-2023-36424CVSS 7.8CISA KEVWindows

CVE-2023-36424: Luka w odczycie poza granicami w Microsoft Windows

W systemie Microsoft Windows wykryto lukę w sterowniku Common Log File System, która umożliwia podniesienie uprawnień poprzez odczyt danych poza przydzielonym obszarem pamięci. Luka ta została oceniona jako poważna z wynikiem CVSS 7.8.

Aktualizacja: 2026-06-17
CVE-2010-0806CVSS 8.8CISA KEVWindows

Luka Use-After-Free w Microsoft Internet Explorer

W składniku Peer Objects (iepeers.dll) w Microsoft Internet Explorer 6, 6 SP1 oraz 7 występuje luka use-after-free, umożliwiająca zdalne wykonanie kodu poprzez dostęp do nieprawidłowego wskaźnika po usunięciu obiektu. Luka była aktywnie wykorzystywana w ata...

Aktualizacja: 2026-06-16
CVE-2026-42271CVSS 8.7CISA KEVKnown Exploited

Luka w BerriAI LiteLLM umożliwiająca wykonanie poleceń (CVE-2026-42271)

W LiteLLM w wersjach od 1.74.2 do przed 1.83.7 wykryto lukę pozwalającą na wykonanie dowolnych poleceń na hoście proxy przez uwierzytelnionych użytkowników z niskimi uprawnieniami. Luka dotyczyła dwóch endpointów, które przyjmowały pełną konfigurację serwer...

Aktualizacja: 2026-06-30
CVE-2009-0238CVSS 8.8CISA KEVWindows

Microsoft Office - Zdalne wykonanie kodu przez złośliwy plik Excel

Wielokrotne wersje Microsoft Office Excel oraz powiązane komponenty umożliwiają zdalne wykonanie kodu poprzez specjalnie spreparowany dokument Excel, który wywołuje dostęp do nieprawidłowego obiektu. Luka była aktywnie wykorzystywana w atakach w lutym 2009 ...

Aktualizacja: 2026-06-16
CVE-2026-42897CVSS 8.1CISA KEVWindows

Luka XSS w Microsoft Exchange Server umożliwiająca podszywanie się

W Microsoft Exchange Server wykryto lukę typu cross-site scripting (XSS), która wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych. Pozwala to nieautoryzowanemu atakującemu na przeprowadzenie ataku podszywania ...

Aktualizacja: 2026-06-17
CVE-2026-34908CVSS 10.0CISA KEVKnown Exploited

Krytyczna luka w kontroli dostępu w Ubiquiti UniFi OS

W systemie Ubiquiti UniFi OS wykryto krytyczną lukę w kontroli dostępu, która umożliwia nieautoryzowane zmiany w systemie przez osoby mające dostęp do sieci. Luka ta może być wykorzystana przez złośliwych aktorów do przejęcia kontroli nad urządzeniem.

Aktualizacja: 2026-06-24
CVE-2026-34909CVSS 10.0CISA KEVKnown Exploited

Krytyczna luka Path Traversal w Ubiquiti UniFi OS

W urządzeniach UniFi OS firmy Ubiquiti wykryto krytyczną lukę Path Traversal, która pozwala atakującemu z dostępem do sieci na dostęp do plików systemowych. Luka ta może umożliwić uzyskanie dostępu do kont systemowych.

Aktualizacja: 2026-06-24
CVE-2026-48027CVSS 9.3CISA KEVKnown Exploited

Krytyczna luka w Nx Console – złośliwy kod w wersji 18.95.0

W maju 2026 roku wykryto złośliwą wersję Nx Console 18.95.0, dostępną przez około 18 minut w Visual Studio Marketplace oraz około 36 minut w OpenVSX. Luka umożliwia wykonanie złośliwego kodu, a wersja 18.100.0 jest wolna od zagrożenia.

Aktualizacja: 2026-06-17
CVE-2024-7399CVSS 8.8CISA KEVKnown Exploited

Luka Path Traversal w Samsung MagicINFO 9 Server

W wersjach Samsung MagicINFO 9 Server przed 21.1050 występuje luka path traversal, która pozwala atakującym na zapis dowolnych plików z uprawnieniami systemowymi. Luka ta może prowadzić do poważnych naruszeń bezpieczeństwa systemu.

Aktualizacja: 2026-06-17
CVE-2024-1708CVSS 8.4CISA KEVKnown Exploited

Luka Path Traversal w ConnectWise ScreenConnect (CVE-2024-1708)

W ConnectWise ScreenConnect w wersji 23.9.7 i wcześniejszych wykryto poważną lukę typu path traversal, która może umożliwić atakującemu zdalne wykonanie kodu oraz dostęp do poufnych danych lub krytycznych systemów. Luka ta została sklasyfikowana jako wysoka...

Aktualizacja: 2026-06-17
CVE-2025-29635CVSS 7.2CISA KEVKnown Exploited

Luka wstrzyknięcia poleceń w D-Link DIR-823X

W urządzeniach D-Link DIR-823X (wersje 240126 i 240802) wykryto lukę umożliwiającą uprawnionemu atakującemu wykonanie dowolnych poleceń poprzez wysłanie żądania POST do endpointu /goform/set_prohibiting. Luka ta pozwala na zdalne wykonanie kodu na podatnych...

Aktualizacja: 2026-06-17
CVE-2009-3459CVSS 8.8CISA KEVKnown Exploited

Luka przepełnienia bufora na stercie w Adobe Acrobat i Reader

W Adobe Reader i Acrobat w wersjach 7.x przed 7.1.4, 8.x przed 8.1.7 oraz 9.x przed 9.2 występuje luka przepełnienia bufora na stercie, umożliwiająca zdalne wykonanie kodu poprzez specjalnie spreparowany plik PDF. Luka była aktywnie wykorzystywana w atakach...

Aktualizacja: 2026-06-16
CVE-2023-27351CVSS 7.5CISA KEVKnown Exploited

CVE-2023-27351: Luka w uwierzytelnianiu w PaperCut NG/MF

W PaperCut NG 22.0.5 (Build 63914) wykryto poważną lukę umożliwiającą zdalne ominięcie uwierzytelniania bez konieczności logowania. Błąd wynika z niewłaściwej implementacji algorytmu uwierzytelniania w klasie SecurityRequestFilter.

Aktualizacja: 2026-06-17
CVE-2026-45498CVSS 4.0CISA KEVWindows

CVE-2026-45498: Luka DoS w Microsoft Defender

Wykryto lukę umożliwiającą atak odmowy usługi (DoS) w Microsoft Defender. Luka ta może prowadzić do zakłócenia działania programu ochronnego.

Aktualizacja: 2026-06-17
CVE-2024-21182CVSS 7.5CISA KEVKnown Exploited

Luka w Oracle WebLogic Server umożliwiająca nieautoryzowany dostęp

W Oracle WebLogic Server wykryto poważną lukę bezpieczeństwa w wersjach 12.2.1.4.0 oraz 14.1.1.0.0, która pozwala na nieautoryzowany dostęp do krytycznych danych przez atakującego z dostępem sieciowym. Luka ta jest łatwa do wykorzystania i może skutkować pe...

Aktualizacja: 2026-06-17
CVE-2020-9715CVSS 7.8CISA KEVKnown Exploited

Luka Use-After-Free w Adobe Acrobat

W starszych wersjach Adobe Acrobat i Reader wykryto lukę typu use-after-free, która może umożliwić zdalne wykonanie dowolnego kodu. Luka dotyczy wersji 2020.009.20074 i wcześniejszych oraz kilku starszych wydań.

Aktualizacja: 2026-06-17
CVE-2024-57726CVSS 9.9CISA KEVKnown Exploited

Krytyczna luka w SimpleHelp umożliwiająca eskalację uprawnień przez API

W oprogramowaniu SimpleHelp do zdalnego wsparcia w wersji 5.5.7 i wcześniejszych wykryto lukę, która pozwala technikom o niskich uprawnieniach na tworzenie kluczy API z nadmiernymi uprawnieniami. Te klucze mogą zostać wykorzystane do uzyskania roli administ...

Aktualizacja: 2026-06-17