Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Oprogramowanie Wertheim SafeController w wersji 6.15.8328.28014 zawiera lukę umożliwiającą obejście ograniczeń IP w procesie logowania. Atakujący z ważnymi danymi logowania użytkownika może manipulować nagłówkiem X-Forwarded-For, aby sfałszować adres IP oddziału i uzyskać dostęp do sesji autoryzowanej z nieautoryzowanej lokalizacji sieciowej.
W Ansible Lightspeed znaleziono lukę związaną z niewystarczającym wygasaniem sesji, co pozwala zdalnemu atakującemu na utrzymanie trwałego dostępu do instancji Ansible Lightspeed. Atakujący, który wykradnie ważny token dostępu OAuth przed wylogowaniem użytkownika, może kontynuować autoryzację i uzyskiwać dostęp do wrażliwych danych.
Wtyczka Form Builder CP dla WordPressa przed wersją 1.2.47 nieprawidłowo sanitizuje wartość konfiguracji formularza przed jej zapisaniem, co umożliwia ataki typu Stored Cross-Site Scripting przez uwierzytelnionych użytkowników z dostępem na poziomie Edytora i wyżej.
Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie filtruje stanu zatwierdzenia na publicznym punkcie końcowym REST dla pojedynczych znaczników, co pozwala nieautoryzowanym użytkownikom na dostęp do rekordów znaczników, które nie zostały jeszcze zatwierdzone przez administratora.
Wtyczka WP Go Maps dla WordPressa przed wersją 10.0.10 nie egzekwuje poprawnie filtru zatwierdzania znaczników w administracyjnym zapytaniu AJAX dla trasy datatables, co pozwala nieautoryzowanym odwiedzającym na dostęp do rekordów znaczników, które właściciel strony nie zatwierdził do publicznego wyświetlania.
W telefonie Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń w funkcji mod_webd.TFTPUploadIperf pliku /api/inner/tftpuploadiperf. Atak wymaga dostępu do sieci lokalnej i może zostać przeprowadzony poprzez manipulację argumentami ip/port. Producent udostępnił poprawkę w wersji 108.87.0.23, która nie jest jeszcze publicznie dostępna.
W oprogramowaniu telefonu Yealink SIP-T46U w wersji 108.86.0.118 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji mod_diagnose.CommandShellByType w pliku /api/diagnosis/start komponentu Web FastCGI Service, gdzie argument Time jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.
Zidentyfikowano słabość w svaarala duktape do wersji 2.99.99, która dotyczy nieznanego przetwarzania pliku duk_api_bytecode.c. Manipulacja argumentem count_instr może prowadzić do uszkodzenia pamięci.
Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Dotyczy ona funkcji getAccountInfo w pliku server/account/src/operations.ts komponentu User Information Handler, co prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w platformie Huly firmy hcengineering do wersji 0.7.0. Problem dotyczy funkcji getMailboxSecret w pliku server/account/src/operations.ts komponentu interfejsu RPC, co prowadzi do niewłaściwych kontroli dostępu.
Wykryto podatność w bibliotece universal-tool-calling-protocol python-utcp w wersji 1.1.0, która dotyczy nieznanej funkcji komponentu utcp-gql/utcp-websocket. Manipulacja tą funkcją prowadzi do ataku typu server-side request forgery.
Wykryto podatność w RubyLouvre avalon do wersji 2.2.10, która dotyczy nieznanej funkcji w pliku src/filters/index.js komponentu Template Filter Handler. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.
Zidentyfikowano słabość w jsonata-js jsonata do wersji 2.2.0, dotyczącą funkcji createFrame w pliku src/jsonata.js. Manipulacja ta prowadzi do nieprawidłowej kontroli modyfikacji atrybutów prototypu obiektu.
W komponencie HTTP REST API oprogramowania medkey-org medkey (do wersji fc09b7ba9441ff590b72d428d5380834216b09ed) wykryto lukę bezpieczeństwa w funkcji actionGetPatientById w pliku PatientController.php. Manipulacja argumentem ID prowadzi do nieprawidłowej kontroli identyfikatorów zasobów, co umożliwia zdalny atak. Exploit został opublikowany i może być wykorzystywany w atakach.
Zidentyfikowano podatność w Grit42 Grit do wersji 0.11.0, która dotyczy funkcji Grit::Assays::DataTableEntity w pliku modules/assays/backend/app/models/grit/assays/data_table_entity.rb. Manipulacja prowadzi do wstrzykiwania SQL.
Wykryto podatność w HKUDS AI-Trader, która dotyczy nieznanej części pliku /api/research/agents.csv w komponencie Research Export. Manipulacja tym plikiem prowadzi do ujawnienia informacji, a atak zdalny jest możliwy.
W IObit Malware Fighter do wersji 13.2.0 znaleziono lukę w nieznanej funkcjonalności komponentu DLL Handler, która powoduje problemy z uprawnieniami. Atak wymaga lokalnego dostępu.
W aplikacji Genspark AI Workspace w wersji 2.8.4 na system Android odkryto podatność, która dotyczy nieznanego kodu komponentu ai.mainfunc.genspark. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
W aplikacji Moovit Bus & Public Transit w wersji 1.18 na Androida znaleziono lukę, która dotyczy nieznanej części komponentu com.tranzmate. Manipulacja może prowadzić do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
Wykryto podatność w Grit42 Grit do wersji 0.11.0, która dotyczy nieznanej funkcjonalności w pliku modules/core/backend/app/controllers/concerns/grit/core/grit_entity_controller.rb komponentu GritEntityController. Manipulacja tą funkcjonalnością prowadzi do wstrzyknięcia SQL.

