CVEbaza.plSłownik CWECWE-77
Common Weakness Enumeration

CWE-77

Improper Neutralization of Special Elements used in a Command ('Command Injection')

Kategoria: ClassCVE: 4186
Opis

Produkt konstruuje całość lub część polecenia używając danych wejściowych ze źródła zewnętrznego, ale nie neutralizuje lub nieprawidłowo neutralizuje elementy specjalne, które mogłyby zmienić zamierzone polecenie podczas jego przesyłania do komponentu poniższego. Podatność ta umożliwia atakującemu wstrzyknięcie i wykonanie nieautoryzowanych poleceń systemowych.

Description (EN)

The product constructs all or part of a command using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the intended command when it is sent to a downstream component.

Podatności CVE z CWE-77 (4186)
10.0
CVSS
CRITICAL
CVE-2026-49199

Podatność typu command injection w obsłudze wiadomości MQTT pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu z uprawnieniami root na podatnym urządzeniu. Ze względu na brak wymaganych uwierzytelnień i pełnię przyznawanych uprawnień, podatność jest oceniana jako krytyczna z maksymalnym wynikiem CVSS 10.0.

pub. 2026-05-29
10.0
CVSS
CRITICAL
CVE-2026-23652

Podatność typu command injection w Microsoft Power Pages pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie kodu przez sieć. Uzyskała maksymalną ocenę CVSS 10.0, co czyni ją podatnością krytyczną wymagającą natychmiastowej reakcji.

pub. 2026-05-22
10.0
CVSS
CRITICAL
CVE-2026-26015

Podatność klasy command injection w aplikacji DocsGPT (wersje 0.15.0 – poniżej 0.16.0) umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na serwerze. Zagrożone są zarówno oficjalne wdrożenie producenta, jak i wszystkie publiczne oraz lokalne instalacje.

pub. 2026-04-29
10.0
CVSS
CRITICAL
CVE-2025-59818

Podatność typu command injection w urządzeniu Zenitel Tcis-3 umożliwia uwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych poprzez spreparowaną nazwę przesyłanego pliku. Ocena CVSS 10.0 wskazuje na pełne przejęcie kontroli nad urządzeniem.

pub. 2026-02-04
10.0
CVSS
CRITICAL
CVE-2025-64090

Podatność typu command injection (CWE-77) w oprogramowaniu urządzenia Zenitel TCIS-3 umożliwia uwierzytelnionemu atakującemu wykonanie dowolnych poleceń systemowych poprzez pole hostname urządzenia. Podatność uzyskała maksymalny wynik CVSS 10.0, co wskazuje na krytyczny wpływ na poufność, integralność i dostępność systemu.

pub. 2026-01-09
10.0
CVSS
CRITICAL
CVE-2025-64093

Krytyczna podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnych poleceń systemowych (RCE) na urządzeniach Zenitel ICx500 i ICx510 poprzez wstrzyknięcie złośliwych komend w pole hostname. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną dla środowisk korzystających z tych urządzeń.

pub. 2026-01-09
10.0
CVSS
CRITICAL
CVE-2025-61492

Podatność typu command injection w funkcji execute_command pakietu terminal-controller-mcp 0.1.7 umożliwia atakującemu zdalne wykonanie dowolnych poleceń systemowych. Otrzymała maksymalny wynik CVSS 10.0, co czyni ją skrajnie krytyczną.

pub. 2026-01-07
10.0
CVSS
CRITICAL
CVE-2025-10035

Krytyczna podatność w komponencie License Servlet aplikacji Fortra GoAnywhere MFT umożliwia atakującemu, który potrafi sfałszować podpis odpowiedzi licencyjnej, deserializację dowolnego obiektu kontrolowanego przez atakującego. Podatność jest aktywnie wykorzystywana w środowiskach produkcyjnych i uzyskała maksymalny wynik CVSS 10.0.

pub. 2025-09-18🚩 CISA KEV⚡ EXPLOIT
10.0
CVSS
CRITICAL
CVE-2024-48841

Podatność w systemie ABB FLXEON umożliwia zdalne wykonanie dowolnego kodu z podwyższonymi uprawnieniami bez jakiejkolwiek autoryzacji. Otrzymała maksymalną ocenę CVSS 10.0, co czyni ją skrajnie krytycznym zagrożeniem dla infrastruktury przemysłowej.

pub. 2025-01-27
10.0
CVSS
CRITICAL
CVE-2024-34166

W oprogramowaniu firmware routera Wavlink AC3000 (model M33A8) wykryto krytyczną podatność typu command injection umożliwiającą zdalne wykonanie dowolnego kodu. Atakujący nieuwierzytelniony sieciowo może przejąć pełną kontrolę nad urządzeniem bez jakiejkolwiek interakcji użytkownika.

pub. 2025-01-14
10.0
CVSS
CRITICAL
CVE-2024-39759

W oprogramowaniu routera Wavlink AC3000 (model WL-WN533A8) istnieje krytyczna podatność typu command injection w pliku login.cgi, umożliwiająca zdalne wykonanie dowolnego kodu. Atakujący nie musi posiadać żadnego uwierzytelnienia, co czyni tę podatność wyjątkowo niebezpieczną.

pub. 2025-01-14
10.0
CVSS
CRITICAL
CVE-2024-39760

Urządzenia Wavlink AC3000 (WL-WN533A8) zawierają krytyczną podatność typu command injection w pliku login.cgi, umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia. Podatność otrzymała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie niebezpieczną.

pub. 2025-01-14
10.0
CVSS
CRITICAL
CVE-2024-39761

W oprogramowaniu routerów Wavlink AC3000 (model WL-WN533A8) istnieje wiele podatności typu command injection w pliku login.cgi, umożliwiających zdalne wykonanie dowolnego kodu bez konieczności uwierzytelnienia. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją ekstremalnie krytyczną.

pub. 2025-01-14
10.0
CVSS
CRITICAL
CVE-2024-20418

Krytyczna podatność typu command injection w interfejsie zarządzania webowego oprogramowania Cisco Unified Industrial Wireless Software dla punktów dostępowych Ultra-Reliable Wireless Backhaul (URWB). Umożliwia nieuwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń z uprawnieniami root na urządzeniu.

pub. 2024-11-06
10.0
CVSS
CRITICAL
CVE-2024-43693

Podatność typu command injection w konsolach ProGauge MAGLINK LX oraz LX4 umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnych poleceń systemowych. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko, bez żadnych wymagań wstępnych po stronie atakującego.

pub. 2024-09-25
10.0
CVSS
CRITICAL
CVE-2024-45066

Podatność typu command injection w konsolach Dover Fueling Solutions ProGauge MAGLINK LX i LX4 umożliwia zdalnemu atakującemu wykonanie dowolnych poleceń systemowych bez uwierzytelnienia. Ocena CVSS 10.0 wskazuje na maksymalne ryzyko, a urządzenia te stosowane są w infrastrukturze stacji paliwowych.

pub. 2024-09-25
10.0
CVSS
CRITICAL
CVE-2024-3659

Podatność typu command injection w firmware routerów KAON AR2140 pozwala uwierzytelnionemu atakującemu na wykonanie dowolnych poleceń systemowych. Uzyskanie dostępu do urządzenia może prowadzić do jego całkowitego przejęcia.

pub. 2024-08-08
10.0
CVSS
CRITICAL
CVE-2024-29895

W gałęzi deweloperskiej 1.3.x frameworka Cacti wykryto krytyczną podatność typu command injection, która pozwala nieuwierzytelnionemu użytkownikowi na zdalne wykonanie dowolnych poleceń na serwerze. Zagrożenie jest szczególnie poważne, ponieważ wymagany do wykorzystania podatności warunek (opcja PHP `register_argc_argv` ustawiona na `On`) jest domyślnie aktywny w wielu popularnych środowiskach, w tym w oficjalnym obrazie Docker dla PHP.

pub. 2024-05-14
10.0
CVSS
CRITICAL
CVE-2024-32766

W kilku wersjach systemu operacyjnego QNAP (QTS, QuTS hero, QuTScloud) wykryto krytyczną podatność typu OS command injection, umożliwiającą zdalne wykonanie poleceń systemowych bez uwierzytelnienia. Podatność uzyskała maksymalny wynik CVSS 10.0, co wskazuje na pełne zagrożenie poufności, integralności i dostępności systemu.

pub. 2024-04-26
10.0
CVSS
CRITICAL
CVE-2024-3400

Krytyczna podatność w funkcji GlobalProtect systemu PAN-OS firmy Palo Alto Networks umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami root na urządzeniu firewall. Podatność jest aktywnie wykorzystywana w atakach i uzyskała maksymalny wynik CVSS 10.0.

pub. 2024-04-12🚩 CISA KEV⚡ EXPLOIT
Pokazano 20 z 4186 podatności
Informacje
ID: CWE-77
Typ: Class
Podatności: 4186
MITRE CWE ↗
← Słownik CWE
CWE-77 — Niewłaściwa neutralizacja elementów specjalnych używanych w poleceniu ('Command Injection' - Wstrzyknięcie Polecenia) | Słownik CWE | CVEbaza.pl