CVEbaza.plSłownik CWECWE-94
Common Weakness Enumeration

CWE-94

Improper Control of Generation of Code ('Code Injection')

Kategoria: BaseCVE: 6991
Opis

Produkt konstruuje całość lub część segmentu kodu używając danych wejściowych ze źródła zewnętrznego, ale nie neutralizuje lub nieprawidłowo neutralizuje elementy specjalne, które mogą zmienić składnię lub zachowanie zamierzonego segmentu kodu. Umożliwia to atakującemu zmodyfikowanie logiki programu poprzez wprowadzenie złośliwego kodu.

Description (EN)

The product constructs all or part of a code segment using externally-influenced input from an upstream component, but it does not neutralize or incorrectly neutralizes special elements that could modify the syntax or behavior of the intended code segment.

Podatności CVE z CWE-94 (6991)
10.0
CVSS
CRITICAL
CVE-2026-57624

Unauthenticated Remote Code Execution (RCE) in Blocksy Companion Pro <= 2.1.46 versions.

pub. 2026-07-02
10.0
CVSS
CRITICAL
CVE-2026-10134

IBM Langflow OSS 1.0.0 through 1.9.3 allows an attacker to read every secret available to the Langflow process, read and modify every flow, conversation, message, file upload, and saved component in the Langflow database, can connect to internal services, abuse cloud metadata endpoints, laterally move to other tenants on the same Langflow instance, and Establish persistence by modifying the public flow's `tool_code` so normal `/api/v1/build/...` calls by any user re-execute attacker code at each build.

pub. 2026-06-30
10.0
CVSS
CRITICAL
CVE-2026-53576

Platforma orkiestracji Kestra zawiera błąd w filtrze uwierzytelnienia REST API, który pozwala anonimowemu atakującemu ominąć Basic-Auth i wykonać dowolny kod jako root wewnątrz kontenera. Ze względu na domyślne montowanie gniazda Docker (/var/run/docker.sock), podatność umożliwia przejęcie kontroli nad hostem.

pub. 2026-06-26
10.0
CVSS
CRITICAL
CVE-2026-10561

Krytyczna podatność w IBM Langflow OSS (wersje 1.0.0–1.9.3) umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Połączenie nieprawidłowej izolacji wykonania kodu Python z obejściem uwierzytelniania sprawia, że podatność jest wyjątkowo groźna — uzyskanie dostępu nie wymaga żadnych danych logowania.

pub. 2026-06-22
10.0
CVSS
CRITICAL
CVE-2026-48836

Podatność krytyczna w pluginie WordPress Easy Invoice w wersjach do 2.1.19 włącznie umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Brak wymogu jakiegokolwiek uwierzytelnienia sprawia, że atak może przeprowadzić każdy użytkownik sieci.

pub. 2026-06-15
10.0
CVSS
CRITICAL
CVE-2026-52704

Wtyczka WooCommerce PDF Invoice Builder w wersjach do 2.0.8 zawiera krytyczną podatność klasy Code Injection umożliwiającą zdalne wykonanie kodu (RCE). Brak wymagań uwierzytelnienia i pełny zakres wpływu (poufność, integralność, dostępność) sprawiają, że zagrożenie jest natychmiastowe.

pub. 2026-06-15
10.0
CVSS
CRITICAL
CVE-2026-45131

Podatność w projekcie CloudPirates Open Source Helm Charts pozwala atakującemu na uruchomienie własnego kodu w uprzywilejowanym środowisku GitHub Actions poprzez przesłanie fork pull request. Skutkuje to ujawnieniem poufnych sekretów repozytorium, w tym danych uwierzytelniających do Docker Hub, bez konieczności zatwierdzenia przez opiekuna projektu.

pub. 2026-06-01
10.0
CVSS
CRITICAL
CVE-2026-45132

W projekcie CloudPirates Open Source Helm Charts workflow GitHub Actions (generate-schema.yaml) nieprawidłowo obsługuje poświadczenia, umożliwiając kodowi kontrolowanemu przez fork dostęp do wrażliwych danych. Podatność uzyskała maksymalny wynik CVSS 10.0, co czyni ją krytycznym zagrożeniem dla łańcucha dostaw oprogramowania (CI/CD).

pub. 2026-06-01
10.0
CVSS
CRITICAL
CVE-2026-43898

Biblioteka SandboxJS w wersjach przed 0.9.6 pozwala na ucieczkę z piaskownicy JavaScript poprzez nadużycie właściwości Function.caller. Atakujący może wykonać dowolny kod JavaScript po stronie hosta, co stanowi krytyczne zagrożenie dla aplikacji izolujących kod użytkownika.

pub. 2026-05-28
10.0
CVSS
CRITICAL
CVE-2026-45829

Podatność typu code injection w projekcie ChromaDB (wersja 1.0.0 i nowsze) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnego kodu na serwerze. Brak wymogu uwierzytelnienia oraz maksymalny wynik CVSS 10.0 czynią tę podatność krytycznym zagrożeniem dla każdej instancji ChromaDB dostępnej z sieci.

pub. 2026-05-18
10.0
CVSS
CRITICAL
CVE-2026-43997

Biblioteka vm2 (sandbox dla Node.js) w wersjach przed 3.11.0 pozwala atakującemu na uzyskanie dostępu do obiektu hosta i ucieczkę z izolowanego środowiska wykonania kodu. Podatność jest krytyczna, ponieważ umożliwia całkowite przełamanie izolacji sandboxa.

pub. 2026-05-13
10.0
CVSS
CRITICAL
CVE-2026-44005

Biblioteka vm2 dla Node.js w wersjach od 3.9.6 do 3.10.5 umożliwia kod działający wewnątrz sandbox na modyfikację współdzielonych prototypów hosta (Object.prototype, Array.prototype, Function.prototype). Jest to podatność o maksymalnym wyniku CVSS 10.0, pozwalająca na przełamanie izolacji sandbox.

pub. 2026-05-13
10.0
CVSS
CRITICAL
CVE-2026-44006

Biblioteka vm2 — sandbox dla Node.js — w wersjach przed 3.11.0 umożliwia atakującemu wydostanie się z izolowanego środowiska wykonania kodu poprzez uzyskanie dostępu do dowolnych prototypów JavaScript. Ze względu na maksymalny wynik CVSS (10.0) podatność stanowi krytyczne zagrożenie dla aplikacji korzystających z vm2 do izolacji niezaufanego kodu.

pub. 2026-05-13
10.0
CVSS
CRITICAL
CVE-2026-42288

ChurchCRM w wersjach przed 7.3.2 zawiera niewystarczającą poprawkę dla CVE-2026-39337, pozostawiając aktywną podatność typu pre-authentication RCE w kreatorze konfiguracji (setup wizard). Atakujący bez żadnych poświadczeń może przejąć kontrolę nad serwerem, co czyni tę podatność krytyczną.

pub. 2026-05-12
10.0
CVSS
CRITICAL
CVE-2026-42298

Podatność typu 'Pwn Request' w narzędziu Postiz pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu podczas procesu budowania obrazu Docker oraz wykradzenie wysoce uprzywilejowanego tokenu GITHUB_TOKEN. Zagrożenie jest krytyczne, ponieważ nie wymaga żadnego uwierzytelnienia ani interakcji po stronie ofiary.

pub. 2026-05-08
10.0
CVSS
CRITICAL
CVE-2026-40911

W platformie WWBN AVideo (wersja 29.0 i wcześniejsze) plugin YPTSocket pozwala nieuwierzytelnionemu atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce każdego podłączonego użytkownika, w tym administratorów. Podatność umożliwia masowe przejęcie kont i kradzież sesji bez konieczności posiadania jakichkolwiek uprawnień.

pub. 2026-04-21
10.0
CVSS
CRITICAL
CVE-2026-39337

Podatność w systemie ChurchCRM (wersje przed 7.1.0) umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu PHP podczas procesu instalacji za pomocą kreatora konfiguracji. Luka ma maksymalną ocenę CVSS 10.0 i może prowadzić do całkowitego przejęcia serwera.

pub. 2026-04-07
10.0
CVSS
CRITICAL
CVE-2026-4745

W projekcie perf-ninja (moduł labs/misc/pgo/lua) odkryto podatność klasy Code Injection (CWE-94), umożliwiającą zdalne wykonanie dowolnego kodu bez jakiegokolwiek uwierzytelnienia. Ocena CVSS 10.0 czyni ją jedną z najpoważniejszych możliwych klas podatności.

pub. 2026-03-24
10.0
CVSS
CRITICAL
CVE-2026-26954

Biblioteka SandboxJS do izolacji kodu JavaScript zawiera podatność umożliwiającą ucieczkę z piaskownicy (sandbox escape). Błąd pozwala atakującemu uzyskać dostęp do konstruktora Function i wykonać dowolny kod JavaScript poza izolowanym środowiskiem.

pub. 2026-03-13
10.0
CVSS
CRITICAL
CVE-2026-27597

Podatność w Agentfront Enclave — bezpiecznym sandboxie JavaScript do wykonywania kodu agentów AI — umożliwia ucieczkę poza granice zabezpieczeń i osiągnięcie zdalnego wykonania kodu (RCE). Krytyczny wynik CVSS 10.0 oznacza, że atak jest możliwy bez uwierzytelnienia, przez sieć, bez interakcji użytkownika.

pub. 2026-02-25
Pokazano 20 z 6991 podatności
Informacje
ID: CWE-94
Typ: Base
Podatności: 6991
MITRE CWE ↗
← Słownik CWE
CWE-94 — Nieprawidłowa kontrola generowania kodu ('Wstrzykiwanie kodu') | Słownik CWE | CVEbaza.pl