Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wersje Acrobat Reader 24.001.30365, 26.001.21651 i wcześniejsze są podatne na błąd przepełnienia całkowitego, który może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność, aby spowodować stan odmowy usługi, wymagając interakcji użytkownika w postaci otwarcia złośliwego pliku.
Wersje Acrobat Reader 24.001.30365, 26.001.21651 i wcześniejsze są podatne na lukę typu Use After Free, która może prowadzić do ujawnienia wrażliwej pamięci. Atakujący może wykorzystać tę podatność do ujawnienia poufnych informacji.
Wersje Acrobat Reader 24.001.30365, 26.001.21651 i wcześniejsze są podatne na lukę typu out-of-bounds read, która może prowadzić do ujawnienia wrażliwej pamięci. Atakujący może wykorzystać tę podatność do ujawnienia poufnych informacji.
OSCAL-GUI zawiera podatność na refleksyjny atak typu cross-site scripting, który pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez wstrzyknięcie złośliwego wejścia przez parametr żądania projektu.
Skrypt do wyświetlania katalogów PHP Evoluted w wersji 4.0.5 zawiera podatność na refleksyjny atak XSS w pliku index.php, gdzie wartość parametru dir jest odzwierciedlana bez kodowania HTML w elemencie tytułu oraz atrybutach href w nawigacji okruszkowej.
Wersje stacjonarne Dreamweaver 21.7 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do nieautoryzowanego odczytu systemu plików. Atakujący może wykorzystać tę podatność do uzyskania dostępu do wrażliwych plików i katalogów poza zamierzonym zakresem dostępu.
Wersje stacjonarne Dreamweaver 21.7 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do nieautoryzowanego odczytu systemu plików. Atakujący może wykorzystać tę lukę, aby uzyskać dostęp do wrażliwych plików i katalogów poza zamierzonym zakresem dostępu.
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na przechowywane ataki XSS w funkcjonalności wyszukiwania kursów. Użytkownicy z dostępem do zapisu w systemie mogą wstrzykiwać złośliwe skrypty JavaScript do pól związanych z wykładowcami i kursami.
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na refleksyjny atak XSS, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą wstrzykiwać niesanitowane dane przez parametr toDateFormat w punkcie końcowym dateConverter.
BIOS platformy Dell Client zawiera słabe kodowanie haseł, co może być wykorzystane przez nieautoryzowanego atakującego z fizycznym dostępem. Wykorzystanie tej podatności może prowadzić do podniesienia uprawnień.
SemCms w wersji 5.0 jest podatny na atak Cross Site Request Forgery (CSRF) poprzez spreparowane żądanie POST do /admin/semcms_user.php.
W urządzeniu Tenda G0 w wersji 15.11.0.5 odkryto wiele przepełnień stosu w funkcji formSetDebugCfgr, które występują w parametrach enable, level i module. Te podatności umożliwiają atakującym spowodowanie odmowy usługi (DoS) za pomocą spreparowanego żądania HTTP.
W routerze bezprzewodowym Tenda O3 v1.0.0.5(4180) odkryto przepełnienie stosu w parametrze nazwy użytkownika funkcji R7WebsSecurityHandler. Ta podatność umożliwia atakującym spowodowanie odmowy usługi (DoS) za pomocą odpowiednio skonstruowanego żądania HTTP.
W routerze bezprzewodowym Tenda W3 v1.0.0.3(2204) odkryto przepełnienie stosu w parametrze param_1 funkcji formSetCfm. Ta podatność umożliwia atakującym wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanego żądania HTTP.
W routerze bezprzewodowym Tenda W3 v1.0.0.3(2204) odkryto przepełnienie stosu w parametrze Go funkcji ask_to_reboot. Ta podatność umożliwia atakującym spowodowanie odmowy usługi (DoS) poprzez odpowiednio przygotowany input.
Router bezprzewodowy Tenda W3 w wersji 1.0.0.3(2204) zawiera podatność typu przepełnienie stosu w parametrze wl_radio funkcji formwrlSSIDget. Atakujący mogą wykorzystać tę podatność do wywołania ataku typu Denial of Service (DoS) poprzez odpowiednio przygotowany input.
W FastapiAdmin v2.2.0 występuje podatność typu cross-site scripting (XSS) w funkcji czatu asystenta AI, która pozwala atakującym na wykonanie dowolnych skryptów webowych lub HTML poprzez wstrzyknięcie spreparowanego ładunku do wiadomości czatu.
Wersja 8.3 aplikacji bookcars zawiera podatność umożliwiającą nieautoryzowanym atakującym usuwanie dowolnych plików poprzez wykorzystanie sekwencji przejścia katalogów w punkcie końcowym /api/delete-temp-license/{file}.
W FastapiAdmin v2.2.0 występuje podatność typu cross-site scripting (XSS) w punkcie końcowym /system/notice/create, która pozwala atakującym na wykonanie dowolnych skryptów webowych lub HTML poprzez wstrzyknięcie spreparowanego ładunku do parametru notice_content.
W wersji 2.2.0 FastapiAdmin występuje nieobsługiwany wyjątek w punkcie końcowym /application/job/update/{id}, co pozwala uwierzytelnionym atakującym z uprawnieniami module_task:job:update na wywołanie ataku typu Denial of Service (DoS) poprzez manipulację polem func zadań zaplanowanych.

