Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
OpenViking przed wersją 0.3.9 zawiera podatność na obejście uwierzytelniania w interfejsie OpenAPI VikingBot, gdzie sprawdzenie uwierzytelnienia nie działa poprawnie, gdy wartość konfiguracyjna api_key jest nieustawiona lub pusta. Zdalni atakujący mogą uzyskać dostęp do funkcji kontrolnych bota bez podawania ważnego nagłówka X-API-Key.
Atakujący z dostępem do sieci PLC może przeprowadzić atak typu brute force, aby odkryć hasła i uzyskać nieautoryzowany dostęp do systemów i usług. Ograniczona złożoność haseł oraz brak limitów wprowadzania haseł umożliwiają enumerację haseł metodą brute force.
W systemie zarządzania obecnością CodeAstro Simple Attendance Management System w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnym, nieautoryzowanym atakującym ominięcie uwierzytelnienia poprzez parametr nazwy użytkownika w pliku index.php.
Nieautoryzowany użytkownik może w pewnych przypadkach wykonywać dowolne polecenia SQL w bazie danych Sparx Pro Cloud Server.
Wszystkie wtyczki Essentialplugin dla WordPressa są podatne na wstrzyknięty backdoor w różnych wersjach. Wtyczki te zostały sprzedane złośliwemu podmiotowi, który osadził backdoor w nabytych wtyczkach.
W CubeCart przed wersją 6.6.0 występuje podatność na wstrzykiwanie SQL, która może pozwolić atakującemu na wykonanie dowolnego zapytania SQL na produkcie.
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach 3.6.3 i starszych, diagramy Mermaid są renderowane z ustawionym securityLevel na 'luźny', co pozwala na wstrzyknięcie kontrolowanego przez atakującego kodu JavaScript do renderowanego wyjścia.
DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.
DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.
W systemach Digital Knowledge KnowledgeDeliver przed 24 lutego 2026 roku występuje twardo zakodowana wartość machineKey w ASP.NET/IIS, co pozwala atakującym na obejście mechanizmów walidacji ViewState i uzyskanie zdalnego wykonania kodu poprzez złośliwe ataki deserializacji ViewState.
System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.
System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Wersje @fastify/middie do 9.3.1 nie rejestrują dziedziczonych middleware bezpośrednio na instancjach silnika wtyczek podrzędnych. To pozwala na ominięcie kontroli uwierzytelniania i autoryzacji dla żądań kierowanych do tras zdefiniowanych w wtyczkach podrzędnych.
Pakiet Laravel goodoneuz/pay-uz w wersjach do 2.2.24 zawiera krytyczną podatność w punkcie końcowym /payment/api/editable/update, która pozwala nieautoryzowanym atakującym na nadpisywanie istniejących plików PHP związanych z płatnościami. Punkt końcowy jest dostępny bez uwierzytelnienia, co umożliwia zdalny dostęp bez podawania danych logowania.
Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.
MailGates/MailAudit opracowane przez Openfind ma podatność typu przepełnienie bufora na stosie, która pozwala nieautoryzowanym zdalnym atakującym na kontrolowanie przepływu wykonania programu oraz wykonywanie dowolnego kodu.
iSherlock opracowany przez HGiga ma podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym lokalnym atakującym na wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.

