CVEbaza.plSłownik CWECWE-20
Common Weakness Enumeration

CWE-20

Improper Input Validation

Kategoria: ClassCVE: 13 700
Opis

Produkt otrzymuje dane wejściowe, ale nie waliduje ich lub nieprawidłowo waliduje, czy dane posiadają wymagane właściwości do bezpiecznego i poprawnego przetworzenia. Brak odpowiedniej walidacji może prowadzić do zagrożeń bezpieczeństwa i błędów w działaniu aplikacji.

Description (EN)

The product receives input or data, but it does not validate or incorrectly validates that the input has the properties that are required to process the data safely and correctly.

Podatności CVE z CWE-20 (13 700)
10.0
CVSS
CRITICAL
CVE-2026-48277

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Input Validation vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

pub. 2026-06-30
10.0
CVSS
CRITICAL
CVE-2026-48281

ColdFusion versions 2025.9, 2023.20 and earlier are affected by an Improper Input Validation vulnerability that could result in arbitrary code execution in the context of the current user. Exploitation of this issue does not require user interaction. Scope is changed.

pub. 2026-06-30
10.0
CVSS
CRITICAL
CVE-2026-12537

Podatność w module uruchamiania kontenerów w Google Gemini CLI oraz GitHub Action run-gemini-cli umożliwia zdalnemu, nieuprzywilejowanemu atakującemu wykonanie dowolnego kodu na poziomie hosta przed uruchomieniem sandboxa. Ocena CVSS 10.0 oznacza maksymalne ryzyko — podatność nie wymaga żadnego uwierzytelnienia ani interakcji użytkownika.

pub. 2026-06-24
10.0
CVSS
CRITICAL
CVE-2026-34910

Podatność typu Improper Input Validation w urządzeniach UniFi OS umożliwia atakującemu z dostępem do sieci wykonanie command injection. Uzyskanie oceny CVSS 10.0 czyni tę lukę wyjątkowo niebezpieczną, gdyż nie wymaga uwierzytelnienia ani interakcji użytkownika.

pub. 2026-05-22🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2026-0848

NLTK w wersjach do 3.9.2 włącznie zawiera krytyczną podatność umożliwiającą wykonanie dowolnego kodu poprzez moduł StanfordSegmenter. Atakujący może podłożyć złośliwy plik JAR, który zostanie załadowany i wykonany bez jakiejkolwiek weryfikacji.

pub. 2026-03-05
10.0
CVSS
CRITICAL
CVE-2026-21858

Podatność w platformie n8n (wersje 1.65.0–1.120.x) umożliwia nieuwierzytelnionemu zdalnemu atakującemu dostęp do plików na serwerze poprzez wykonanie określonych workflow opartych na formularzach. Ze względu na brak wymogu uwierzytelnienia i możliwość dalszego kompromitowania systemu podatność otrzymała maksymalny wynik CVSS 10.0.

pub. 2026-01-08
10.0
CVSS
CRITICAL
CVE-2025-20393

Podatność w funkcji Spam Quarantine oprogramowania Cisco AsyncOS umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych z uprawnieniami root. Luka jest aktywnie wykorzystywana i uzyskała maksymalną ocenę CVSS 10.0.

pub. 2025-12-17🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2025-12275

Podatność w urządzeniach Azure-Access BLU-IC2 oraz BLU-IC4 umożliwia manipulację plikiem konfiguracyjnym poczty i wykonanie arbitralnych poleceń. Ocena CVSS 10.0 wskazuje na pełne przejęcie kontroli nad urządzeniem bez wymagania jakiegokolwiek uwierzytelnienia.

pub. 2025-10-26
10.0
CVSS
CRITICAL
CVE-2025-12285

Urządzenia Azure-Access BLU-IC2 oraz BLU-IC4 nie wymuszają zmiany domyślnego hasła przy pierwszym uruchomieniu. Podatność ta otrzymała maksymalny wynik CVSS 10.0, co oznacza możliwość pełnego przejęcia kontroli nad urządzeniem przez nieuwierzytelnionego atakującego sieciowego.

pub. 2025-10-26
10.0
CVSS
CRITICAL
CVE-2025-12001

Brak sanitizacji manifestu aplikacji w urządzeniach Azure-Access BLU-IC2 i BLU-IC4 umożliwia przeprowadzenie ataku stored XSS. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla środowisk korzystających z tych urządzeń.

pub. 2025-10-20
10.0
CVSS
CRITICAL
CVE-2025-34300

W aplikacji webowej ciwweb.pl wchodzącej w skład Sawtooth Software Lighthouse Studio istnieje podatność typu template injection umożliwiająca nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.

pub. 2025-07-16
10.0
CVSS
CRITICAL
CVE-2025-34105

W wbudowanym interfejsie webowym DiskBoss Enterprise istnieje podatność typu stack-based buffer overflow, umożliwiająca zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla środowisk Windows.

pub. 2025-07-15
10.0
CVSS
CRITICAL
CVE-2025-34060

Podatność PHP object injection w opartym na Laravel oprogramowaniu forum projektu Monero umożliwia zdalnemu atakującemu wykonanie dowolnego kodu bez uwierzytelnienia. Wynika z niebezpiecznego przetwarzania niezaufanych danych wejściowych w endpoincie /get/image/, co przy CVSS 10.0 czyni ją podatnością krytyczną.

pub. 2025-07-01
10.0
CVSS
CRITICAL
CVE-2025-34043

Podatność klasy command injection w rejestratorach sieciowych Vacron NVR v1.4 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych poprzez spreparowane żądania HTTP. Krytyczny poziom zagrożenia wynika z braku wymaganego uwierzytelnienia oraz możliwości pełnego przejęcia kontroli nad urządzeniem.

pub. 2025-06-26
10.0
CVSS
CRITICAL
CVE-2025-23202

Bible Module — narzędzie dla deweloperów ROBLOX umożliwiające integrację treści biblijnych w grach — zawiera krytyczną podatność typu injection w funkcjach `FetchVerse` i `FetchPassage`. Brak walidacji danych wejściowych pozwala atakującemu manipulować adresami URL żądań do API, co może prowadzić do nieautoryzowanego dostępu lub manipulacji danymi.

pub. 2025-01-17
10.0
CVSS
CRITICAL
CVE-2023-41917

Podatność na zdalne wykonanie kodu (RCE) wynikająca z niewystarczającej walidacji danych wejściowych w funkcji pomiaru prędkości (Speed-Measurement). Atakujący bez uwierzytelnienia może wykonać dowolne polecenia systemowe, co czyni tę lukę krytyczną.

pub. 2024-07-02
10.0
CVSS
CRITICAL
CVE-2024-5171

Podatność w bibliotece libaom (implementacja kodeka AV1) polega na przepełnieniu liczby całkowitej (integer overflow) w wewnętrznej funkcji img_alloc_helper, co może prowadzić do przepełnienia bufora na stercie (heap buffer overflow). Błąd otrzymał maksymalną ocenę CVSS 10.0, co oznacza krytyczne zagrożenie dla wszystkich systemów korzystających z tej biblioteki.

pub. 2024-06-05
10.0
CVSS
CRITICAL
CVE-2024-22476

Nieprawidłowa walidacja danych wejściowych w oprogramowaniu Intel Neural Compressor przed wersją 2.5.0 umożliwia nieuwierzytelnionemu atakującemu eskalację uprawnień przez zdalny dostęp. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.

pub. 2024-05-16
10.0
CVSS
CRITICAL
CVE-2024-3400

Krytyczna podatność w funkcji GlobalProtect systemu PAN-OS firmy Palo Alto Networks umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami root na urządzeniu firewall. Podatność jest aktywnie wykorzystywana w atakach i uzyskała maksymalny wynik CVSS 10.0.

pub. 2024-04-12🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2023-51438

Podatność w oprogramowaniu Microchip maxView Storage Manager (używanym w urządzeniach Siemens SIMATIC IPC) umożliwia nieautoryzowany dostęp do systemu poprzez interfejs Redfish skonfigurowany do zdalnego zarządzania. Uzyskanie dostępu bez uwierzytelnienia do systemu zarządzania pamięcią masową stanowi poważne zagrożenie dla integralności i dostępności infrastruktury przemysłowej.

pub. 2024-01-09
Pokazano 20 z 13 700 podatności
Informacje
ID: CWE-20
Typ: Class
Podatności: 13 700
MITRE CWE ↗
← Słownik CWE
CWE-20 — Nieprawidłowa walidacja danych wejściowych | Słownik CWE | CVEbaza.pl