Nowe dane z radaru.
PressMind Labs / Radar Engine

CVE Radar LIVE

Najnowsze podatności z KEV (CISA) + NVD, wzbogacone o EPSS (FIRST). Priorytetyzacja patchowania w czasie rzeczywistym: termin (Due), PM Score oraz EPSS (ryzyko exploitu w 30 dni).
Live • last update 2026-06-24 17:30run 20260624-173020Nowy snapshotdelta: 0 + / 0 ~ / 0 -
>RECENT:Ubiquiti CVE-2026-34910
>RECENT:Ubiquiti CVE-2026-34909
>RECENT:Ubiquiti CVE-2026-34908
>RECENT:Splunk CVE-2026-20253
>RECENT:Lantronix CVE-2025-67038
Critical High Medium
Świeże KEV ≤7d
Odległość od środka = priorytet (PM). Pozycja kątowa to rozproszenie sygnałów.
KEV nowe (7d)
5
KEV świeże
5
KEV po terminie
236
KEV critical+net
70
KEV w radarze
240
Statystyki KEV (CISA).

Live feed

Live: 5

Najważniejsze

Kliknięcie filtruje Deep dive i przewija do listy.

Top tags

Ekspercka strefa

Live snapshot
run 20260624-173020
generated_at: 2026-06-24 17:30

CERT PL – podatności

Źródło: cert.pl/cve
CERT
Podatność w oprogramowaniu DRIMO CMS
W oprogramowaniu DRIMO CMS wykryto podatność typu Reflected Cross-site Scripting (CVE-2026-11772).
2026-06-23
CVE: CVE-2026-11772
Podatność w oprogramowaniu routera Totolink EX1200L
W oprogramowaniu routera Totolink EX1200L wykryto podatność typu Stack-based Buffer Overflow (CVE-2026-44089).
2026-06-23
CVE: CVE-2026-44089
Podatności w oprogramowaniu UBB.threads
W oprogramowaniu UBB.threads wykryto 6 podatności różnego typu (od CVE-2026-54219 do CVE-2026-54224)
2026-06-18
CVE: CVE-2026-54219, CVE-2026-54224
Podatności w oprogramowaniu LMS
W oprogramowaniu LMS (LAN Management System) wykryto 3 podatności różnego typu (od CVE-2026-40455 do CVE-2026-40457)
2026-06-18
CVE: CVE-2026-40455, CVE-2026-40457
Podatność w kompilatorze 8cc
W kompilatorze 8cc wykryto podatność typu Out-of-bounds Read (CVE-2026-50643).
2026-06-18
CVE: CVE-2026-50643
Zobacz wszystkie podatności →

CERT PL – komunikaty

Źródło: moje.cert.pl
CERT
Krytyczna podatność w rozszerzeniu SP Page Builder dla Joomla
Zespół CERT Polska informuje o krytycznej podatności w rozszerzeniu SP Page Builder dla systemu Joomla. Podatność, oznaczona jako CVE-2026-48908 (CVSS 10.0), pozwala nieuwierzytelnionemu atakującemu…
2026-06-24 • Dla administratorów
CVE: CVE-2026-48908
SMS o mandacie? Zachowaj czujność!
📩 Obserwujemy powrót kampanii SMS-owej, w której oszuści informują o rzekomo nieuregulowanych opłatach za wykroczenia drogowe. Fałszywe wiadomości zawierają fikcyjną sygnaturę, odniesienia do przepisów…
2026-06-23 • Dla użytkowników
Pilne rekomendacje dla wszystkich instytucji korzystających z oprogramowania FortiGate
W związku z publikacją informacji o wykryciu listy loginów i haseł do urządzeń FortiGate, która zawierała kilkadziesiąt tysięcy wpisów z całego świata, zespół CSIRT…
2026-06-19 • Dla administratorów
Krytyczna podatność w rozszerzeniu JCE dla Joomla
Zespół CERT Polska informuje o krytycznej podatności w rozszerzeniu Joomla Content Editor (JCE) dla systemu Joomla, oznaczonej jako CVE-2026-48907. Podatność pozwala nieuwierzytelnionym atakującym na…
2026-06-17 • Dla administratorów
CVE: CVE-2026-48907
Kolejna kampania phishingowa na rzekomy zwrot podatku
🔎 Przestępcy podszywają się pod Krajową Administrację Skarbową (KAS) i informują o rzekomym zwrocie podatku. 📩 Oszuści rozsyłają wiadomości z informacją o nadpłacie oraz…
2026-06-16 • Dla użytkowników
Zobacz wszystkie komunikaty →

Deep dive

Wyniki: 10 / 240
Filtr aktywny
Top 10 według PM score (KEV + NVD). Kliknij, aby rozwinąć szczegóły.
EPSS (FIRST) = prognozowane prawdopodobieństwo exploitu w 30 dni.
CRITICALCVE-2026-34910PM 100KEVEPSS 33.6%Updated 2026-06-23Ubiquiti • 2026-06-26Atakujący posiadający dostęp do sieci mógłby wykorzystać lukę w zabezpieczeniach związaną z nieprawidłową weryfikacją danych wejściowych, wykrytą w urządzeniach UniFi typu „OS”, w celu przeprowadzenia ataku typu „wstrzyknięcie poleceń”.
🧨 KEV

TL;DR

Critical KEV – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Ubiquiti - UniFi OS. 2 dni do terminu (pilne). Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: community.ui.com

Dlaczego to ważne

  • Termin: 2 dni do terminu (pilne).
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Ubiquiti
  • Produkt: UniFi OS

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2026-34909PM 100KEVEPSS 0.895%Updated 2026-06-23Ubiquiti • 2026-06-26Atakujący podmiot posiadający dostęp do sieci mógłby wykorzystać lukę typu „path traversal” wykrytą w urządzeniach UniFi OS w celu uzyskania dostępu do plików w systemie bazowym, które można by zmodyfikować w celu uzyskania dostępu do konta w systemie bazowym.
🧨 KEV

TL;DR

Critical KEV – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Ubiquiti - UniFi OS. 2 dni do terminu (pilne). Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: community.ui.com

Dlaczego to ważne

  • Termin: 2 dni do terminu (pilne).
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Ubiquiti
  • Produkt: UniFi OS

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2026-34908PM 100KEVEPSS 0.86%Updated 2026-06-23Ubiquiti • 2026-06-26Atakujący podmiot posiadający dostęp do sieci mógłby wykorzystać lukę w zabezpieczeniach związaną z nieprawidłową kontrolą dostępu, wykrytą w urządzeniach UniFi z funkcją „OS”, w celu wprowadzenia nieautoryzowanych zmian w systemie.
🧨 KEV

TL;DR

Critical KEV – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Ubiquiti - UniFi OS. 2 dni do terminu (pilne). Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: community.ui.com

Dlaczego to ważne

  • Termin: 2 dni do terminu (pilne).
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Ubiquiti
  • Produkt: UniFi OS

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2026-20253PM 100KEVEPSS 92.1%Updated 2026-06-19Splunk • 2026-06-21W wersjach Splunk Enterprise 10.2 starszych niż 10.2.4 oraz w wersjach 10 starszych niż 10.0.7 nieautoryzowany użytkownik mógłby tworzyć lub skracać dowolne pliki za pośrednictwem punktu końcowego usługi sidecar PostgreSQL. Luka ta wynika z braku mechanizmów uwierzytelniania w punkcie końcowym usługi pomocniczej PostgreSQL, co pozwala dowolnemu użytkownikowi mającemu dostęp do sieci na wywoływanie operacji na plikach bez podawania poświadczeń. Nie dotyczy to wersji Splunk Enterprise 9.4 i wcześniejszych. Jeśli nie można od razu zaktualizować oprogramowania do poprawionej wersji, można ograniczyć skutki tej luki, wyłączając usługę pomocniczą PostgreSQL.
🧨 KEV

TL;DR

Critical KEV – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Splunk - Enterprise. Termin minął 3 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: advisory.splunk.com

Dlaczego to ważne

  • Termin: termin minął 3 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Splunk
  • Produkt: Enterprise

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2025-67038PM 88KEVEPSS 0.469%Updated 2026-06-23Lantronix • 2026-06-26W aplikacji Lantronix EDS5000 2.1.0.0R3 wykryto lukę. Moduł HTTP RPC wykonuje polecenie powłoki w celu zapisania logów w przypadku niepowodzenia uwierzytelnienia użytkownika. Nazwa użytkownika jest bezpośrednio dołączana do polecenia bez żadnej weryfikacji. Umożliwia to atakującym wstrzyknięcie dowolnych poleceń OS do parametru nazwy użytkownika. Wstrzyknięte polecenia są wykonywane z uprawnieniami roota.
🧨 KEV

TL;DR

Critical KEV – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Lantronix - EDS5000. 2 dni do terminu (pilne). Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: www.cisa.gov

Dlaczego to ważne

  • Termin: 2 dni do terminu (pilne).
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Lantronix
  • Produkt: EDS5000

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2021-35211PM 54KEVEPSS 91.2%Updated 2026-06-17SolarWinds • 2021-11-17Microsoft discovered a remote code execution (RCE) vulnerability in the SolarWinds Serv-U product utilizing a Remote Memory Escape Vulnerability. If exploited, a threat actor may be able to gain privileged access to the machine hosting Serv-U Only. SolarWinds Serv-U Managed File Transfer and Serv-U Secure FTP for Windows before 15.2.3 HF2 are affected by this vulnerability.
🧨 KEV💥 RCE

TL;DR

Critical KEV + RCE – przez sieć, bez uprawnień, bez kliknięć Dotyczy: SolarWinds - Serv-U. Termin minął 1680 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: www.microsoft.com

Dlaczego to ważne

  • Termin: termin minął 1680 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: SolarWinds
  • Produkt: Serv-U

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2021-22991PM 52KEVEPSS 61.1%Updated 2026-06-17F5 • 2022-02-01W wersjach BIG - IP 16.0.x przed 16.0.1.1, 15.1.x przed 15.1.2.1, 14.1.x przed 14.1.4, 13.1.x przed 13.1.3.6 oraz 12.1.x przed 12.1.5.3 nieujawnione żądania kierowane do serwera wirtualnego mogą być nieprawidłowo obsługiwane przez normalizację Traffic Management Microkernel (TMM) URI, co może spowodować przepełnienie bufora, a w konsekwencji atak DoS. W niektórych sytuacjach może to teoretycznie umożliwić ominięcie kontroli dostępu opartej na URL lub zdalne wykonanie kodu (RCE). Uwaga: wersje oprogramowania, które osiągnęły koniec cyklu rozwoju oprogramowania (EoSD), nie są oceniane.
🧨 KEV💥 RCE

TL;DR

Critical KEV + RCE – przez sieć, bez uprawnień, bez kliknięć Dotyczy: F5 - BIG-IP Traffic Management Microkernel. Termin minął 1604 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: support.f5.com

Dlaczego to ważne

  • Termin: termin minął 1604 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: F5
  • Produkt: BIG-IP Traffic Management Microkernel

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2021-42013PM 52KEVEPSS 100%Updated 2026-06-17Apache • 2021-11-17It was found that the fix for CVE-2021-41773 in Apache HTTP Server 2.4.50 was insufficient. An attacker could use a path traversal attack to map URLs to files outside the directories configured by Alias-like directives. If files outside of these directories are not protected by the usual default configuration "require all denied", these requests can succeed. If CGI scripts are also enabled for these aliased pathes, this could allow for remote code execution. This issue only affects Apache 2.4.49 and Apache 2.4.50 and not earlier versions.
🧨 KEV💥 RCE

TL;DR

Critical KEV + RCE – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Apache - HTTP Server. Termin minął 1680 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: httpd.apache.org

Dlaczego to ważne

  • Termin: termin minął 1680 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Apache
  • Produkt: HTTP Server

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2021-41773PM 52KEVEPSS 100%Updated 2026-06-17Apache • 2021-11-17W zmianie wprowadzonej w normalizacji ścieżek w Apache HTTP Server 2.4.49 wykryto lukę. Atakujący mógłby wykorzystać atak typu path traversal, aby mapować adresy URL do plików znajdujących się poza katalogami skonfigurowanymi przez dyrektywy typu Alias. Jeśli pliki poza tymi katalogami nie są chronione przez standardową konfigurację domyślną "require all denied", żądania te mogą zakończyć się powodzeniem. Jeśli skrypty CGI są również włączone dla tych aliasowanych ścieżek, może to umożliwić zdalne wykonanie kodu. Wiadomo, że problem ten jest wykorzystywany w realnych atakach. Problem dotyczy tylko Apache 2.4.49, a nie wcześniejszych wersji. Poprawka w Apache HTTP Server 2.4.50 okazała się niekompletna, zobacz CVE-2021-42013.
🧨 KEV💥 RCE

TL;DR

Critical KEV + RCE – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Apache - HTTP Server. Termin minął 1680 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: httpd.apache.org

Dlaczego to ważne

  • Termin: termin minął 1680 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Apache
  • Produkt: HTTP Server

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
NVD KEV
CRITICALCVE-2021-38647PM 52KEVEPSS 99.7%Updated 2026-06-17Microsoft • 2021-11-17Open Management Infrastructure Remote Code Execution Vulnerability
🧨 KEV💥 RCE🪟 Windows

TL;DR

Critical KEV + RCE – przez sieć, bez uprawnień, bez kliknięć Dotyczy: Microsoft - Open Management Infrastructure (OMI). Termin minął 1680 dni temu. Patch ASAP, ogranicz ekspozycję i obserwuj logi.
Źródło: portal.msrc.microsoft.com

Dlaczego to ważne

  • Termin: termin minął 1680 dni temu.
  • Aktywnie wykorzystywana w praktyce (KEV).
  • Zdalny wektor ataku (AV: NETWORK).

Kogo dotyczy

  • Vendor: Microsoft
  • Produkt: Open Management Infrastructure (OMI)
  • Kontekst: Microsoft Windows ecosystem

Plan działań

Teraz (0-2h)
  • Wdróż patch / aktualizację producenta ASAP (priorytet 0).
  • Tymczasowo ogranicz ekspozycję: WAF/ACL/VPN, allowlista IP, wyłącz narażone endpointy/funkcje.
  • Sprawdź logi/EDR pod ślady exploita (traktuj kompromitację jako możliwą).
Dziś (24h)
  • Windows: wdroż poprawki przez WSUS/Intune/GPO i zweryfikuj zgodność wersji.
W tym tygodniu (7d)
  • Windows: upewnij się, że telemetry/EDR zbiera zdarzenia pod tę klasę ataku.
NVD KEV
Pokazujesz 10 z 240.