Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-14700
Wysokie

W systemie Internship Management System 1.0 wykryto podatność SQL injection w pliku employer/login.php. Atakujący może zdalnie manipulować argumentami email/password, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.

CVE-2026-14695
Wysokie

W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 znaleziono podatność SQL injection w funkcji save_client pliku classes/Users.php. Manipulacja argumentem Name w komponencie obsługi rejestracji umożliwia zdalne wstrzyknięcie SQL. Exploit został opublikowany i może być wykorzystany.

CVE-2026-14690
Wysokie

W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 wykryto słabość w funkcji save_users pliku classes/Users.php, która prowadzi do nieprawidłowej autoryzacji. Podatność może być zdalnie wykorzystana przez atakującego, a exploit został opublikowany publicznie.

CVE-2026-14688
Wysokie

W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność SQL injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem email, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-14660
Wysokie

W systemie Online Job Portal 1.0 znaleziono podatność na wstrzykiwanie SQL w pliku login.php. Nieznana funkcja tego pliku pozwala na manipulację argumentami txtUser i txtPass, co umożliwia atakującemu zdalne wykonanie zapytań SQL. Exploit został opublikowany i może być wykorzystany.

CVE-2026-14654
Wysokie

W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 wykryto podatność SQL Injection w pliku /admin/girlsproductdeletequery.php. Nieznana funkcja tego pliku pozwala na manipulację argumentem user_id, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit jest publicznie dostępny i może zostać wykorzystany.

CVE-2026-14653
Wysokie

W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 wykryto podatność SQL injection w pliku /admin/mensproductdeletequery.php. Atakujący może zdalnie manipulować argumentem user_id, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.

CVE-2026-14652
Wysokie

W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 znaleziono podatność SQL injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem Username, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany i może być wykorzystany.

CVE-2026-14649
Wysokie

W systemie Online Voting System 1.0 wykryto podatność na iniekcję SQL w pliku /saveVote.php. Funkcja test_input nie zabezpiecza odpowiednio argumentów voterName, voterEmail, voterID oraz selectedCandidate, co umożliwia zdalne wykonanie ataku.

CVE-2026-14648
Wysokie

W systemie Online Voting System do wersji 1.0 wykryto podatność SQL injection w funkcji test_input pliku /authentication.php komponentu Login. Manipulacja argumentami adminUserName/adminPassword umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony.

CVE-2026-14642
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /edit_class2.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-14641
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /edit_course.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-14640
Wysokie

W systemie CodeAstro Apartment Visitor Management System 1.0 wykryto podatność na iniekcję SQL w pliku /index.php w komponencie logowania. Manipulacja argumentem Username umożliwia atakującemu zdalne wykonanie nieautoryzowanych zapytań do bazy danych. Exploit został opublikowany i może być wykorzystany.

CVE-2026-14637
Wysokie

W bibliotece Ecommerce-CodeIgniter-Bootstrap wykryto podatność polegającą na deserializacji w funkcji getCartItems pliku ShoppingCart.php. Atak może być przeprowadzony zdalnie poprzez manipulację argumentem shopping_cart. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-14635
Wysokie

W Ecommerce-CodeIgniter-Bootstrap do wersji 222ff31c06687b1c6d0e1ab63953f82c3674c52b wykryto podatność na manipulację ścieżką (path traversal) w pliku AddProduct.php komponentu Vendor Multi-Image Endpoint. Atakujący może zdalnie modyfikować argument folder, co prowadzi do nieautoryzowanego dostępu do plików. Exploit został opublikowany i może być wykorzystywany w atakach.

CVE-2026-14535
Wysokie

W bibliotece fickling do wersji 0.1.11 włącznie, analiza UnsafeImportsML zapisuje skrócone reprezentacje importów we współdzielonym zbiorze, co powoduje, że analiza MLAllowlist pomija wszystkie sprawdzenia, uznając je za już zgłoszone. W rezultacie MLAllowlist staje się nieaktywny, a importy modułów spoza listy dozwolonych mogą być traktowane jako bezpieczne.

CVE-2026-14534
Wysokie

Podatność w bibliotece fickling do wersji 0.1.10 włącznie polega na braku modułów standardowej biblioteki Pythona (_posixsubprocess, site, atexit) na liście UNSAFE_IMPORTS. Powoduje to, że funkcja check_safety() błędnie klasyfikuje złośliwe ładunki pickle jako LIKELY_SAFE, co umożliwia ich deserializację i wykonanie niebezpiecznych funkcji, takich jak fork_exec, execsitecustomize czy _run_exitfuncs.

CVE-2026-12196
Wysokie

Funkcja cronjob w panelu HestiaCP zawiera podatność związaną z uszkodzoną kontrolą dostępu. Użytkownicy z niskimi uprawnieniami mogą modyfikować zadania cron panelu, aby wykonywać skrypty zarządzania HestiaCP z sudo bez hasła.

CVE-2026-12195
Wysokie

myVesta zawiera podatność na zdalne wykonanie kodu po uwierzytelnieniu. Użytkownicy z niskimi uprawnieniami mogą wstrzykiwać dowolne polecenia w parametrze v_ftp_user podczas usuwania nazw użytkowników FTP.

CVE-2026-14622
Wysokie

W komponencie AJAX Endpoint aplikacji restaurant-website-php-mysql wykryto brak uwierzytelnienia w pliku /admin/ajax_files. Podatność umożliwia zdalne manipulowanie danymi bez wymagania logowania. Exploit został opublikowany, co zwiększa ryzyko ataku.

PoprzedniaStrona 1 z 4455Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS