Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Zidentyfikowano słabość w svaarala duktape do wersji 2.99.99, która dotyczy nieznanego przetwarzania pliku duk_api_bytecode.c. Manipulacja argumentem count_instr może prowadzić do uszkodzenia pamięci.
Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Dotyczy ona funkcji getAccountInfo w pliku server/account/src/operations.ts komponentu User Information Handler, co prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Problem dotyczy funkcji getMailboxSecret w pliku server/account/src/operations.ts komponentu interfejsu RPC, co prowadzi do niewłaściwych kontroli dostępu.
Wykryto podatność w bibliotece universal-tool-calling-protocol python-utcp w wersji 1.1.0, która dotyczy nieznanej funkcji komponentu utcp-gql/utcp-websocket. Manipulacja tą funkcją prowadzi do ataku typu server-side request forgery.
Wykryto podatność w RubyLouvre avalon do wersji 2.2.10, która dotyczy nieznanej funkcji w pliku src/filters/index.js komponentu Template Filter Handler. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.
Zidentyfikowano słabość w jsonata-js jsonata do wersji 2.2.0, dotyczącą funkcji createFrame w pliku src/jsonata.js. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.
W komponencie HTTP REST API oprogramowania medkey-org medkey (do wersji fc09b7ba9441ff590b72d428d5380834216b09ed) wykryto lukę bezpieczeństwa w funkcji actionGetPatientById w pliku PatientController.php. Manipulacja argumentem ID prowadzi do nieprawidłowej kontroli identyfikatorów zasobów, co umożliwia zdalny atak. Exploit został opublikowany i może być wykorzystywany w atakach.
Zidentyfikowano podatność w Grit42 Grit do wersji 0.11.0, która dotyczy funkcji Grit::Assays::DataTableEntity w pliku modules/assays/backend/app/models/grit/assays/data_table_entity.rb. Manipulacja prowadzi do wstrzykiwania SQL.
Wykryto podatność w HKUDS AI-Trader, która dotyczy nieznanej części pliku /api/research/agents.csv w komponencie Research Export. Manipulacja tym plikiem prowadzi do ujawnienia informacji, a atak zdalny jest możliwy.
W IObit Malware Fighter do wersji 13.2.0 znaleziono lukę w nieznanej funkcjonalności komponentu DLL Handler, która powoduje problemy z uprawnieniami. Atak wymaga lokalnego dostępu.
W aplikacji Genspark AI Workspace w wersji 2.8.4 na system Android odkryto podatność, która dotyczy nieznanego kodu komponentu ai.mainfunc.genspark. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
W aplikacji Moovit Bus & Public Transit w wersji 1.18 na Androida znaleziono lukę, która dotyczy nieznanej części komponentu com.tranzmate. Manipulacja może prowadzić do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
Wykryto podatność w Grit42 Grit do wersji 0.11.0, która dotyczy nieznanej funkcjonalności w pliku modules/core/backend/app/controllers/concerns/grit/core/grit_entity_controller.rb komponentu GritEntityController. Manipulacja tą funkcjonalnością prowadzi do wstrzyknięcia SQL.
Linux-PAM w wersji do 1.7.2 zawiera podatność w module pam_userdb, która umożliwia atakującemu lokalnemu lub sąsiadującemu w sieci odzyskanie hasła w postaci jawnej poprzez pomiar różnic czasowych odpowiedzi podczas procesu uwierzytelniania. Problem wynika z porównania haseł w postaci jawnej, które ujawnia długość hasła oraz poszczególne bajty prefiksu.
Wtyczka Iptanus File Upload dla WordPress przed wersją 5.1.7 nie implementuje prawidłowego zarządzania plikami, gdy ustawienie duplicatepolicy jest skonfigurowane na "zachowaj oba". Z powodu warunku wyścigu TOCTOU między sprawdzeniem istnienia pliku a faktyczną operacją zapisu, uwierzytelniony atakujący może nadpisać pliki przesłane przez innych użytkowników.
W OpenStack Ironic przed wersją 37.0.1, podczas stosowania PATCH do aktualizacji pól w właściwościach woluminu, do których użytkownik ma uprawnienia, Ironic może zwrócić nieprzetworzone informacje wrażliwe, takie jak dane uwierzytelniające iSCSI.
W systemie oceniania automatycznego CET z analityką predykcyjną AI 1.0 odkryto podatność. Manipulacja argumentem 'action' w pliku /index.php prowadzi do ataku typu cross-site scripting (XSS).
W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 zidentyfikowano podatność, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem admissionNumber w pliku /attendance-php/Admin/createStudents.php.
Wtyczka Meow Gallery dla WordPressa jest podatna na nieautoryzowaną modyfikację danych z powodu braku sprawdzenia uprawnień na końcówce REST API /wp-json/meow-gallery/v1/save_shortcode we wszystkich wersjach do 5.4.4 włącznie. Umożliwia to atakującym z poziomem dostępu Author i wyżej dowolne tworzenie lub nadpisywanie istniejących rekordów shortcode galerii.
Wtyczka Canvas dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'tag' we wszystkich wersjach do 2.5.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.

