Co znajdziesz w tym artykule?
CVE, które przeszły do historii
Altualne na dzień 3.11.2025 – Artykuł będzie aktualizowany planowo 2 razy do roku.
Analizy firm z branży cyberbezpieczeństwa (m.in. Mandiant, Rapid7, Recorded Future, MITRE ATT&CK, Palo Alto Unit 42) oraz instytucji rządowych (CISA, FBI) wskazują na listę podatności, które były najczęściej wykorzystywane przez grupy APT oraz cyberprzestępców w latach 2010–2024.
Obejmują one zarówno luki klientowe (np. w Microsoft Office, przeglądarkach, Flash, Java), jak i serwerowe oraz urządzeń brzegowych (VPN, serwery WWW, firewalle). Warto zauważyć, że wiele starszych podatności pozostaje aktywnie wykorzystywanych przez lata – np. luki OLE w Microsoft Office, takie jak CVE-2017-11882, CVE-2017-0199 czy CVE-2012-0158, należały do najczęściej używanych exploitów w okresie 2016–2019.
Z kolei w ostatnich latach dominują krytyczne błędy w systemach wystawionych do Internetu – np. w 2024 roku cztery najczęściej atakowane podatności dotyczyły VPN-ów i urządzeń zabezpieczających na brzegu sieci.
Jeżeli chcesz pogłębić swoją wiedzę na temat CVE sprawdź koniecznie nasze opracowanie – CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa.
Zestawienie „najpopularniejszych” CVE w latach 2010–2024
Poniższa tabela przedstawia kompleksowe zestawienie najpopularniejszych podatności (CVE) wykorzystywanych przez cyberaktorów w latach 2010–2024, wraz z kontekstem/nazwą, typem podatności, oprogramowaniem oraz informacją, czy dana luka widnieje w katalogu znanych exploitowanych podatności CISA (KEV).
Każda podlinkowana treść do nazwy CVE zawiera szczegółowy opis podatności.
| CVE | Rok | Nazwa/Kontekst | Typ | Oprogramowanie |
|---|---|---|---|---|
| CVE-2010-2568 | 2010 | Windows LNK Shortcut RCE (Stuxnet) | RCE | Microsoft Windows |
| CVE-2010-2883 | 2010 | Adobe Reader CoolType Overflow | RCE | Adobe Reader |
| CVE-2010-3333 | 2010 | RTF Stack Buffer Overflow (OLE) | RCE | Microsoft Office |
| CVE-2011-0609 | 2011 | Flash Player 0-day (RSA breach) | RCE | Adobe Flash |
| CVE-2012-0158 | 2012 | MS Office ActiveX (OLE) RCE | RCE | Microsoft Office |
| CVE-2012-0507 | 2012 | Java AtomicReferenceArray Sandbox Escape | RCE | Oracle Java |
| CVE-2012-1723 | 2012 | Java HotSpot Type Confusion | RCE | Oracle Java |
| CVE-2012-1889 | 2012 | MSXML Uninitialized Memory Corruption | RCE | Microsoft Windows/IE |
| CVE-2013-0074 | 2013 | Silverlight Double Dereference | RCE | Microsoft Silverlight |
| CVE-2013-0422 | 2013 | Java JRE Reflection API Exploit | RCE | Oracle Java |
| CVE-2013-1493 | 2013 | Java Code Execution (McRAT malware) | RCE | Oracle Java |
| CVE-2014-0160 | 2014 | „Heartbleed” Memory Leak | ujawnienie inf. | OpenSSL |
| CVE-2014-4114 | 2014 | Windows OLE „Sandworm” RCE | RCE | Microsoft Windows |
| CVE-2014-6271 | 2014 | „Shellshock” Bash Remote Code Execution | RCE | *nix Bash |
| CVE-2015-1641 | 2015 | MS Office OLE RCE (Toshliph malware) | RCE | Microsoft Office |
| CVE-2015-2545 | 2015 | EPS Image Handling RCE | RCE | Microsoft Office |
| CVE-2015-3113 | 2015 | Flash Player 0-day (HackingTeam leak) | RCE | Adobe Flash |
| CVE-2015-5122 | 2015 | Flash Player Use-After-Free | RCE | Adobe Flash |
| CVE-2015-5123 | 2015 | Flash Player Use-After-Free | RCE | Adobe Flash |
| CVE-2016-0189 | 2016 | Internet Explorer Scripting Engine | RCE | Microsoft IE/Edge |
| CVE-2017-0199 | 2017 | Office/WordPad HTA Execution (OLE) | RCE | Microsoft Office/WordPad |
| CVE-2017-0143 | 2017 | Windows SMBv1 (EternalBlue family) | RCE | Microsoft Windows |
| CVE-2017-0144 | 2017 | „EternalBlue” SMBv1 RCE (WannaCry exploit) | RCE | Microsoft Windows |
| CVE-2017-0145 | 2017 | SMBv1 RCE („EternalRomance”) | RCE | Microsoft Windows |
| CVE-2017-5638 | 2017 | Apache Struts2 OGNL Injection (Equifax) | RCE | Apache Struts2 |
| CVE-2017-8464 | 2017 | LNK Remote Code Execution (Turla) | RCE | Microsoft Windows |
| CVE-2017-8759 | 2017 | .NET Framework WSDL RCE (FinFisher) | RCE | Microsoft .NET |
| CVE-2017-8570 | 2017 | Office OLE Object RCE | RCE | Microsoft Office/WordPad |
| CVE-2017-11882 | 2017 | Equation Editor (OLE) RCE | RCE | Microsoft Office |
| CVE-2018-0171 | 2018 | Cisco Smart Install Remote Overflow | RCE | Cisco IOS |
| CVE-2018-4878 | 2018 | Flash Player UAF (North Korea exploit) | RCE | Adobe Flash |
| CVE-2018-7600 | 2018 | „Drupalgeddon2” Drupal RCE | RCE | Drupal CMS |
| CVE-2018-8174 | 2018 | Internet Explorer VBScript RCE | RCE | Microsoft IE/Windows |
| CVE-2018-15982 | 2018 | Flash Player 0-day (Operation Poison) | RCE | Adobe Flash |
| CVE-2018-0802 | 2018 | Equation Editor Memory Corruption #2 | RCE | Microsoft Office |
| CVE-2018-20250 | 2018 | WinRAR ACE Archive Extraction (writeto) | RCE | WinRAR (Windows) |
| CVE-2019-0604 | 2019 | SharePoint ViewState RCE | RCE | Microsoft SharePoint |
| CVE-2019-0708 | 2019 | „BlueKeep” RDP Remote RCE | RCE | Microsoft Windows |
| CVE-2019-11510 | 2019 | Pulse Secure VPN Path Traversal (cred. leak) | ujawnienie inf. | Pulse Secure VPN |
| CVE-2019-19781 | 2019 | „Shitrix” Citrix ADC Path Traversal → RCE | RCE | Citrix ADC/Gateway |
| CVE-2019-18935 | 2019 | Telerik UI ASP.NET Deserialization RCE | RCE | Progress Telerik UI |
| CVE-2019-2725 | 2019 | Oracle WebLogic Deserialization RCE | RCE | Oracle WebLogic |
| CVE-2019-3396 | 2019 | Confluence Widget Connector OGNL RCE | RCE | Atlassian Confluence |
| CVE-2019-11580 | 2019 | Atlassian Crowd OGNL Injection RCE | RCE | Atlassian Crowd |
| CVE-2020-0688 | 2020 | Exchange Control Panel (ECP) RCE | RCE | Microsoft Exchange |
| CVE-2020-0674 | 2020 | Internet Explorer JScript 0-day | RCE | Microsoft IE/Windows |
| CVE-2020-0796 | 2020 | „SMBGhost” SMBv3 RCE | RCE | Microsoft Windows |
| CVE-2020-10189 | 2020 | Zoho ManageEngine Desktop Central RCE | RCE | Zoho ManageEngine |
| CVE-2020-1206 | 2020 | „SMBleed” SMBv3 Info Leak | ujawnienie inf. | Microsoft Windows |
| CVE-2020-1472 | 2020 | „Zerologon” Privilege Escalation (Domain) | podn. uprawnień | Microsoft Netlogon |
| CVE-2020-15505 | 2020 | MobileIron Mobile Device MDM RCE | RCE | MobileIron Core (MDM) |
| CVE-2020-16898 | 2020 | „Bad Neighbor” IPv6 RCE | RCE | Microsoft Windows |
| CVE-2020-14882 | 2020 | Oracle WebLogic Console RCE | RCE | Oracle WebLogic |
| CVE-2020-2555 | 2020 | Oracle WebLogic RCE (JSON deserialization) | RCE | Oracle WebLogic |
| CVE-2020-5902 | 2020 | F5 BIG-IP TMUI Remote Code Exec | RCE | F5 BIG-IP |
| CVE-2020-3452 | 2020 | Cisco ASA/FTD Web VPN Path Traversal | ujawnienie inf. | Cisco ASA/FTD |
| CVE-2021-22893 | 2021 | Pulse Connect Secure RCE (pre-auth) | RCE | Pulse Secure VPN |
| CVE-2021-22986 | 2021 | F5 BIG-IP iControl REST RCE (pre-auth) | RCE | F5 BIG-IP |
| CVE-2021-26855 | 2021 | „ProxyLogon” Exchange SSRF (auth bypass) | RCE | Microsoft Exchange |
| CVE-2021-27065 | 2021 | „ProxyLogon” Exchange Post-auth RCE | RCE | Microsoft Exchange |
| CVE-2021-34473 | 2021 | „ProxyShell” Exchange Pre-auth Path Confusion | RCE | Microsoft Exchange |
| CVE-2021-34523 | 2021 | „ProxyShell” Exchange Privilege Escalation | podn. uprawnień | Microsoft Exchange |
| CVE-2021-31207 | 2021 | „ProxyShell” Exchange Post-auth RCE | RCE | Microsoft Exchange |
| CVE-2021-34527 | 2021 | „PrintNightmare” Spooler RCE | RCE | Microsoft Windows |
| CVE-2021-1675 | 2021 | Windows Print Spooler LPE (PrintNightmare variant) | podn. uprawnień | Microsoft Windows |
| CVE-2021-40444 | 2021 | MSHTML ActiveX Zero-day (malicious doc) | RCE | Microsoft Windows/Office |
| CVE-2021-3156 | 2021 | „Baron Samedit” Sudo Privilege Escalation | podn. uprawnień | Unix/Linux (sudo) |
| CVE-2021-27852 | 2021 | Checkbox Survey RCE (survey software) | RCE | Checkbox Survey |
| CVE-2021-20016 | 2021 | SonicWall SMA100 SQLi (cred theft chain) | ujawnienie inf. | SonicWall SMA100 |
| CVE-2021-21972 | 2021 | VMware vCenter Server RCE (upload servlet) | RCE | VMware vCenter |
| CVE-2021-26084 | 2021 | Confluence OGNL Injection (unauth RCE) | RCE | Atlassian Confluence |
| CVE-2021-40539 | 2021 | ManageEngine ADSelfService Plus RCE | RCE | Zoho ManageEngine ADSelfService |
| CVE-2021-44077 | 2021 | ManageEngine ServiceDesk Plus RCE | RCE | Zoho ManageEngine ServiceDesk |
| CVE-2021-44228 | 2021 | „Log4Shell” Apache Log4j RCE | RCE | Apache Log4j (Java) |
| CVE-2022-22954 | 2022 | VMware vRealize/Workspace ONE RCE | RCE | VMware (vRA) |
| CVE-2022-1388 | 2022 | F5 BIG-IP iControl REST RCE | RCE | F5 BIG-IP |
| CVE-2022-1040 | 2022 | Sophos Firewall User Portal RCE | RCE | Sophos Firewall |
| CVE-2022-26134 | 2022 | Confluence OGNL Injection (unauth RCE) | RCE | Atlassian Confluence |
| CVE-2022-30190 | 2022 | „Follina” MSDT Diagnostic Tool RCE | RCE | Microsoft Windows/Office |
| CVE-2022-40684 | 2022 | Fortinet FortiOS Authentication Bypass | pominięcie aut. | Fortinet FortiOS |
| CVE-2022-42475 | 2022 | FortiOS SSL-VPN Heap Buffer Overflow (RCE) | RCE | Fortinet FortiOS |
| CVE-2022-41040 | 2022 | „ProxyNotShell” Exchange SSRF | pominięcie aut. | Microsoft Exchange |
| CVE-2022-41082 | 2022 | „ProxyNotShell” Exchange Post-auth RCE | RCE | Microsoft Exchange |
| CVE-2022-47966 | 2022 | ManageEngine (several products) RCE via Santuario | RCE | Zoho ManageEngine (multiple) |
| CVE-2023-0669 | 2023 | Fortra GoAnywhere MFT Pre-auth RCE | RCE | GoAnywhere MFT |
| CVE-2023-23397 | 2023 | Outlook Privilege Elevation (NTLM leak) | podn. uprawnień | Microsoft Outlook |
| CVE-2023-27350 | 2023 | PaperCut MF/NG Unauthenticated RCE | RCE | PaperCut MF/NG |
| CVE-2023-2868 | 2023 | Barracuda ESG Email Attachment RCE | RCE | Barracuda ESG |
| CVE-2023-34362 | 2023 | MOVEit Transfer SQL Injection (Clop data theft) | RCE | Progress MOVEit |
| CVE-2023-35078 | 2023 | Ivanti EPMM (MobileIron) API RCE | RCE | Ivanti EPMM (MobileIron) |
| CVE-2023-3519 | 2023 | Citrix NetScaler Gateway Code Injection | RCE | Citrix ADC/Gateway |
| CVE-2023-36884 | 2023 | Office Defense Evasion (RTF RCE exploit) | RCE | Microsoft Office/Windows |
| CVE-2023-46805 | 2023 | Ivanti Connect Secure Command Injection (VPN) | RCE | Ivanti Connect Secure |
| CVE-2023-48788 | 2023 | Fortinet FortiClient EMS SQL Injection | RCE | Fortinet FortiClient EMS |
| CVE-2024-21887 | 2024 | Ivanti Policy Secure Command Injection (VPN) | RCE | Ivanti Policy Secure |
| CVE-2024-21893 | 2024 | Ivanti Policy Secure Command Injection (VPN) | RCE | Ivanti Policy Secure |
| CVE-2024-3400 | 2024 | PAN-OS GlobalProtect VPN Command Injection | RCE | Palo Alto Networks PAN-OS |
Zestawienie opracowano na podstawie raportów CISA, FBI, NSA oraz firm bezpieczeństwa (m.in. Qualys, Mandiant, Recorded Future). Wszystkie wymienione podatności były aktywnie wykorzystywane przez cyberprzestępców lub grupy APT – wiele z nich figuruje w katalogu znanych exploitatowanych podatności CISA (KEV).
Przykładowo, luki w Exchange ProxyLogon i ProxyShell zostały użyte w globalnych falach ataków ransomware, krytyczna luka Log4Shell w Log4j posłużyła dziesiątkom grup atakujących systemy na całym świecie, a exploit EternalBlue (CVE-2017-0144) spowodował globalne epidemie ransomware (WannaCry, NotPetya) wykorzystując lukę SMB w Windows. Podatności takie jak Conficker (CVE-2008-4250) czy luki w Javie z pakietów exploit kitów były masowo wykorzystywane we wcześniejszych latach.
Obecnie wiele z powyższych podatności pozostaje przedmiotem aktywnych ataków lub skanowania – stanowią one krytyczne zagrożenie bezpieczeństwa, jeśli nie zostały załatane. Wszystkie organizacje powinny priorytetowo stosować aktualizacje zabezpieczeń dla wymienionych luk zgodnie z zaleceniami producentów oraz katalogiem CISA KEV.
Podsumowanie
Lista tych podatności to w praktyce historia cyberataków ostatnich dekad – katalog błędów, które realnie zmieniły sposób, w jaki budujemy i zabezpieczamy systemy. Od klasycznych luk w Windows i Javie, przez podatności w serwerach aplikacyjnych i VPN-ach, po współczesne katastrofy w stylu Log4Shell czy ProxyShell – każdy z tych przypadków pokazuje, że prosty błąd w kodzie może pociągnąć za sobą globalne skutki.
Wspólnym mianownikiem jest to, że wszystkie zostały opisane w systemie CVE i w większości znalazły się w katalogu CISA KEV, co czyni je dobrym punktem odniesienia do priorytetyzacji działań naprawczych. Jeżeli Twoja infrastruktura zawiera komponenty, które kiedyś figurowały przy tych identyfikatorach, to nie jest to lista do czytania – to lista do sprawdzenia w praktyce.
Jeżeli chcesz pogłębić swoją wiedzę na temat CVE sprawdź koniecznie nasze opracowanie – CVE – Kompleksowy Przewodnik Po Lukach Bezpieczeństwa.
Bibliografia
- https://www.welivesecurity.com/2016/11/21/odd-8-year-legacy-conficker-worm
- https://www.cvedetails.com/cve/CVE-2012-0507/
- https://www.cvedetails.com/cve/CVE-2015-1641/
- www.picussecurity.com/resource/blog/cisa-reveals-the-top-15-most-exploited-vulnerabilities-of-2023
- https://www.fortiguard.com/threat-signal-report/4295
- arista.my.site.com/AristaCommunity/s/article/Pulse-VPN-Vulnerability-Analysis-CVE-2019-11510
- https://www.trendmicro.com/en_us/what-is/zerologon.html
- https://www.cisa.gov/news-events/cybersecurity-advisories/aa22-117a
- https://www.digitalguardian.com/blog/cisa-fbi-breakdown-most-exploited-vulnerabilities
- https://cyberscoop.com/mandiant-m-trends-2025
- https://blog.qualys.com/vulnerabilities-threat-research/2023/09/04/qualys-top-20-exploited-vulnerabilities
- https://www.bleepingcomputer.com/news/security/cisa-orders-agencies-to-patch-vulnerability-used-in-stuxnet-attacks
Jeden komentarz do “Najczęściej Wykorzystywane Podatności CVE W Atakach Cybernetycznych”
Możliwość komentowania została wyłączona.