CVEbaza.plSłownik CWECWE-506
Common Weakness Enumeration

CWE-506

Embedded Malicious Code

Kategoria: ClassCVE: 85
Opis

Produkt zawiera kod, który ma pozory być złośliwy. Taki kod może być umyślnie wbudowany w celu spowodowania szkód lub nieautoryzowanego dostępu do systemu.

Description (EN)

The product contains code that appears to be malicious in nature.

Podatności CVE z CWE-506 (85)
10.0
CVSS
CRITICAL
CVE-2026-28353

Wersja 1.8.12 rozszerzenia Trivy Vulnerability Scanner dla VS Code, dystrybuowana przez marketplace OpenVSX, zawierała złośliwy kod. Kod ten był zaprojektowany w celu wykradania wrażliwych informacji przy wykorzystaniu lokalnego agenta AI.

pub. 2026-03-05
10.0
CVSS
CRITICAL
CVE-2024-3094

W oficjalnych archiwach źródłowych biblioteki xz, począwszy od wersji 5.6.0, odkryto złośliwy kod wprowadzony do procesu budowania biblioteki liblzma. Zagrożenie ma charakter ataku na łańcuch dostaw (supply chain attack) i dotyczy każdego oprogramowania linkowanego z podatną biblioteką.

pub. 2024-03-29
9.8
CVSS
CRITICAL
CVE-2026-6443

Wszystkie wtyczki WordPress sprzedawane przez Essentialplugin zawierają celowo wstrzyknięty backdoor, wprowadzony przez złośliwego aktora, który przejął kontrolę nad tymi wtyczkami. Umożliwia to atakującemu trwały dostęp do zainfekowanych witryn oraz wstrzykiwanie spamu.

pub. 2026-04-17
9.8
CVSS
CRITICAL
CVE-2026-34841

Pakiet Bruno (open source IDE do testowania API) był podatny na atak na łańcuch dostaw polegający na wykorzystaniu skompromitowanego pakietu npm axios, który wprowadzał ukrytą zależność instalującą wieloplatformowego trojana zdalnego dostępu (RAT). Zagrożeni są użytkownicy @usebruno/cli, którzy wykonali npm install w wąskim oknie czasowym 31 marca 2026 roku.

pub. 2026-04-06
9.8
CVSS
CRITICAL
CVE-2017-16128

The module npm-script-demo opened a connection to a command and control server. It has been removed from the npm registry.

pub. 2018-06-07
9.6
CVSS
CRITICAL
CVE-2026-45758

11 maja 2026 roku atakujący opublikował na PyPI złośliwą wersję pakietu `guardrails-ai` (0.10.1) zawierającą osadzony szkodliwy kod (CWE-506). Każdy użytkownik, który zainstalował tę wersję w dniu publikacji, mógł narazić swoje poświadczenia i środowisko na kompromitację.

pub. 2026-06-05
9.6
CVSS
CRITICAL
CVE-2026-45321

W dniu 2026-05-11 opublikowano 84 złośliwe wersje 42 pakietów @tanstack/* w rejestrze npm, wykorzystując skompromitowany token OIDC do uwierzytelnionych publikacji pod zaufaną tożsamością. Pakiety zawierały malware kradnące dane uwierzytelniające, co stanowi poważne zagrożenie dla wszystkich projektów korzystających z dotkniętych zależności.

pub. 2026-05-12🚩 CISA KEV⚡ EXPLOIT
9.6
CVSS
CRITICAL
CVE-2025-10894

Do pakietu Nx (system budowania projektów) oraz powiązanych wtyczek opublikowanych w rejestrze npm został wstrzyknięty złośliwy kod w ramach ataku supply-chain. Skompromitowane wersje pakietu zbierają dane uwierzytelniające z systemu plików użytkownika i przesyłają je na zewnętrzne repozytoria GitHub.

pub. 2025-09-24
9.4
CVSS
CRITICAL
CVE-2026-33634

19 marca 2026 r. atakujący, używając skradzionych danych uwierzytelniających, opublikował złośliwą wersję Trivy v0.69.4 oraz podmienił dziesiątki tagów wersji w repozytoriach `aquasecurity/trivy-action` i `aquasecurity/setup-trivy` na malware kradnący poświadczenia. Jest to kontynuacja ataku na łańcuch dostaw zapoczątkowanego pod koniec lutego 2026 r., co czyni go wyjątkowo niebezpiecznym dla organizacji korzystających z Trivy w potokach CI/CD.

pub. 2026-03-23🚩 CISA KEV⚡ EXPLOIT
9.3
CVSS
CRITICAL
CVE-2026-48027

W dniu 19 maja 2026 r. opublikowano złośliwą wersję rozszerzenia Nx Console (18.95.0) w Visual Studio Marketplace oraz OpenVSX, zawierającą wbudowany szkodliwy kod. Podatność jest aktywnie exploitowana i sklasyfikowana jako krytyczna z wynikiem CVSS 9.3.

pub. 2026-05-27🚩 CISA KEV⚡ EXPLOIT
9.3
CVSS
CRITICAL
CVE-2026-8398

Oficjalne pakiety instalacyjne DAEMON Tools Lite w wersjach 12.5.0.2421–12.5.0.2434 zostały skompromitowane w ramach ataku na łańcuch dostaw — atakujący wstrzyknęli złośliwy kod do binarnych plików dystrybuowanych z oficjalnej strony producenta. Zagrożenie jest krytyczne, ponieważ złośliwe instalatory były podpisane legalnym certyfikatem kod-podpisującym AVB Disc Soft, co pozwalało omijać mechanizmy weryfikacji podpisu cyfrowego.

pub. 2026-05-15🚩 CISA KEV⚡ EXPLOIT
9.3
CVSS
CRITICAL
CVE-2026-44484

PyTorch Lightning w wersji 2.6.2 zawiera funkcjonalność zgodną z mechanizmem zbierania poświadczeń (credential harvesting). Podatność sklasyfikowana jako CWE-506 (Embedded Malicious Code) czyni ją wyjątkowo poważną dla środowisk trenowania i dostrajania modeli AI.

pub. 2026-05-14
9.3
CVSS
CRITICAL
CVE-2026-34424

Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPress i Joomla zawiera wieloetapowy zestaw narzędzi zdalnego dostępu wstrzyknięty przez skompromitowany mechanizm aktualizacji. Podatność umożliwia nieuwierzytelnionym atakującym zdalne wykonanie dowolnego kodu (RCE) bez żadnej interakcji użytkownika.

pub. 2026-04-09
9.3
CVSS
CRITICAL
CVE-2026-31976

GitHub Action xygeni/xygeni-action został skompromitowany poprzez technikę tag poisoning: atakujący przesunął mutabilny tag @v5 na złośliwy commit zawierający zaciemniony shellcode, co spowodowało wykonanie implantu C2 we wszystkich pipeline'ach CI/CD odwołujących się do tej wersji. Podatność jest krytyczna, ponieważ dotknęła dowolny workflow używający @v5 bez wiedzy i zgody właściciela repozytorium.

pub. 2026-03-11
9.3
CVSS
CRITICAL
CVE-2025-59374

Wybrane wersje klienta ASUS Live Update zostały rozpowszechnione z nieautoryzowanymi modyfikacjami wprowadzonymi w wyniku ataku na łańcuch dostaw. Urządzenia spełniające określone warunki targetowania, na których zainstalowano zmodyfikowane wersje, mogły wykonywać niezamierzone działania.

pub. 2025-12-17🚩 CISA KEV⚡ EXPLOIT
9.3
CVSS
CRITICAL
CVE-2018-25117

Instalator VestaCP w commitach od a3f0fa1 (2018-05-31) do ee03eff (2018-06-13) zawierał celowo osadzony złośliwy kod, stanowiący atak na łańcuch dostaw. Nowe instalacje przeprowadzone z zainfekowanego instalatora skutkowały instalacją złośliwego oprogramowania DDoS oraz wyciekiem poświadczeń administracyjnych do zewnętrznego serwera.

pub. 2025-10-15
9.3
CVSS
CRITICAL
CVE-2017-20203

Produkty NetSarang (Xmanager Enterprise, Xmanager, Xshell, Xftp, Xlpd) w określonych buildach zawierały złośliwą bibliotekę nssock2.dll implementującą wieloetapowy backdoor oparty na DNS. Podatność jest krytyczna, ponieważ umożliwia atakującemu pełne zdalne wykonanie kodu (RCE), eksfiltrację danych oraz uzyskanie trwałego dostępu do zaatakowanego systemu.

pub. 2025-10-09
9.3
CVSS
CRITICAL
CVE-2017-20201

CCleaner v5.33.6162 oraz CCleaner Cloud v1.07.3191 (wersje 32-bitowe) zawierały złośliwy loader osadzony w kodzie aplikacji przed właściwym punktem wejścia, co stanowi klasyczny przypadek ataku na łańcuch dostaw oprogramowania. Podatność jest krytyczna, ponieważ zainfekowane oprogramowanie było dystrybuowane oficjalnym kanałem producenta i instalowane przez użytkowników ufających zaufanemu dostawcy.

pub. 2025-10-08
9.3
CVSS
CRITICAL
CVE-2017-20202

Rozszerzenie Web Developer for Chrome w wersji 0.4.9 zawierało złośliwy kod, który pobierał i uruchamiał zewnętrzne skrypty realizujące oszustwa reklamowe, kradzież danych uwierzytelniających oraz przekierowanie ruchu użytkowników. Podatność jest krytyczna ze względu na masową bazę użytkowników rozszerzenia i szeroki zakres szkodliwych działań wykonywanych bez wiedzy ofiary.

pub. 2025-10-08
9.3
CVSS
CRITICAL
CVE-2025-59039

Wersja 1.17.3 pakietu Prebid Universal Creative (PUC) została krótkotrwale zainfekowana złośliwym oprogramowaniem związanym z kryptowalutami. Podatność dotyczy również popularnego hostingu tego pliku przez serwis jsDelivr, co znacząco zwiększa zasięg potencjalnego zagrożenia.

pub. 2025-09-09
Pokazano 20 z 85 podatności
Informacje
ID: CWE-506
Typ: Class
Podatności: 85
MITRE CWE ↗
← Słownik CWE
CWE-506 — Osadzony Złośliwy Kod | Słownik CWE | CVEbaza.pl