Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W komponentach /jmreport/show w jeecg boot w wersjach od 3.0.0 do 3.5.3 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonanie dowolnego kodu za pomocą odpowiednio skonstruowanego żądania HTTP.
W wersjach 3.0.0 do 3.5.3 jeecg boot występuje podatność na wstrzykiwanie z powodu niedostatecznego filtrowania znaków, co umożliwia atakującym wykonanie dowolnego kodu na komponentach poprzez specjalnie przygotowane żądania HTTP.
TOTOlink A3600R w wersji v5.9c.4959 zawiera podatność na przepełnienie bufora w interfejsie setAppEasyWizardConfig w pliku /lib/cste_modules/app.so. Problem wynika z niewłaściwej walidacji długości parametru rootSsid, co pozwala zdalnym atakującym na wywołanie przepełnienia bufora, co może prowadzić do wykonania dowolnego kodu lub odmowy usługi.
MetInfo CMS w wersjach 7.9, 8.0 i 8.1 zawiera podatność na wstrzykiwanie kodu PHP, która nie wymaga uwierzytelnienia. Atakujący mogą wysyłać spreparowane żądania z złośliwym kodem PHP, co pozwala na zdalne wykonanie dowolnego kodu.
Zidentyfikowano podatność w Juju od wersji 3.2.0 do 3.6.19 oraz od wersji 4.0 do 4.0.4, gdzie wewnętrzny klaster bazy danych Dqlite nie przeprowadza właściwej autoryzacji TLS dla klientów i serwerów. Punkt końcowy bazy danych kontrolera Juju nie weryfikuje certyfikatów klientów, co pozwala nieautoryzowanemu atakującemu dołączyć do klastra bazy danych.
Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.
Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Podatność w RTI Connext Professional związana z niewłaściwym ograniczeniem odniesień do zewnętrznych jednostek XML umożliwia nieautoryzowane powiązania danych oraz eksplozję jednostek zewnętrznych w serializacji danych.
XenForo w wersjach przed 2.3.7 zawiera problem bezpieczeństwa dotyczący kluczy dostępu (Passkeys) dodanych do kont użytkowników. Atakujący może być w stanie naruszyć bezpieczeństwo uwierzytelniania opartego na kluczach dostępu.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2, złośliwa strona internetowa mogła uzyskać zdalne wykonanie kodu (RCE) na dowolnym komputerze z uruchomionym SiYuan, wykorzystując liberalną politykę CORS do wstrzyknięcia fragmentu JavaScript przez API.
SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.6.2, atakujący mógł umieścić złośliwy URL w polu mAsse w widoku atrybutów, co prowadziło do przechowywanego XSS, gdy ofiara otworzyła widok Galerii lub Kanban z włączoną opcją „Cover From -> Asset Field”.
Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.
Protokół komunikacyjny MAVLink domyślnie nie wymaga uwierzytelnienia kryptograficznego. Gdy podpisywanie wiadomości MAVLink 2.0 nie jest włączone, każda wiadomość, w tym SERIAL_CONTROL, która zapewnia dostęp do interaktywnej powłoki, może być wysyłana przez nieautoryzowaną stronę mającą dostęp do interfejsu MAVLink.
Podatność CVE-2026-30285 w Zora: Post, Trade, Earn Crypto v2.60.0 umożliwia atakującym nadpisanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
W Zefiro Cloud v32.0.2026011614 firmy Funambol, Inc. występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
Podatność w aplikacji NIS Animal Sounds and Ringtones w wersji 1.3.0 umożliwia atakującym nadpisywanie krytycznych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
Podatność w aplikacji Cast to TV Screen Mirroring v2.2.77 umożliwia nadpisywanie dowolnych plików wewnętrznych poprzez proces importu plików. Może to prowadzić do zdalnego wykonania kodu lub ujawnienia informacji.
Podatność w aplikacji FLY is FUN Aviation Navigation v35.33 umożliwia atakującym nadpisanie dowolnych plików wewnętrznych podczas procesu importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

