Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka TinyMCE shortcode Addon dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'btnrel' Shortcode w wersjach do 1.0.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Enable Media Replace dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_dir' we wszystkich wersjach do 4.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie autora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Zidentyfikowano słabość w Dcat-Admin do wersji 2.2.3-beta, która wpływa na funkcję editorMDUpload w pliku /admin/dcat-api/editor-md/upload na stronie ustawień użytkownika. Manipulacja argumentem editormd-image-file umożliwia nieograniczony upload plików.
W urządzeniu TOTOLINK EX200 w wersji 4.0.3c.7646 odkryto lukę bezpieczeństwa w pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.
Zidentyfikowano podatność w Dolibarr ERP CRM do wersji 23.0.2, która dotyczy nieznanej funkcji w pliku htdocs/core/filemanagerdol/connectors/php/config.inc.php komponentu Legacy Filemanager. Manipulacja prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
Wtyczka Accordions dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez pole treści akordeonu we wszystkich wersjach do 2.3.23 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
SAP Wily Introscope Enterprise Manager pozwala nieautoryzowanemu atakującemu na stworzenie specjalnie przygotowanego adresu URL. W określonych warunkach, po jego otwarciu przez ofiarę, wstrzyknięty skrypt może zostać wykonany w przeglądarce użytkownika w kontekście aplikacji.
Platforma SAP Business Objects Business Intelligence nie weryfikuje wystarczająco parametrów wysyłania e-maili dostarczanych przez uwierzytelnionych użytkowników, co prowadzi do podatności na fałszowanie e-maili.
Moduły Remote Function Call (RFC) w API replikacji danych Operational Data Provisioning (ODP-RFC) nie identyfikują wywołujących dozwolonych aplikacji wewnętrznych SAP, co może prowadzić do niezamierzonego ujawnienia danych.
SAP MDG (Aplikacja Przeglądania Grup Dopasowań) nie przeprowadza wymaganych kontroli autoryzacji dla uwierzytelnionych użytkowników. Może to pozwolić użytkownikowi o niskich uprawnieniach na wykonywanie działań, które normalnie byłyby zablokowane, co prowadzi do eskalacji uprawnień.
W SAP NetWeaver JAVA (serwlet testowy JDBC) występuje podatność na refleksyjny atak XSS, która pozwala nieautoryzowanemu atakującemu na stworzenie złośliwego linku. Kliknięcie w ten link przez ofiarę może prowadzić do wykonania złośliwego skryptu w przeglądarce ofiary.
SAP S/4HANA (On-Premise) zawiera podatność na wstrzykiwanie SQL w zdalnie aktywowanym module funkcjonalnym, która może być wykorzystana przez uwierzytelnionego atakującego do potencjalnego wykonania nieautoryzowanych zapytań do bazy danych. Ta wada naraża wrażliwe informacje, do których atakujący nie powinni mieć dostępu.
SAP Fiori Launchpad umożliwia atakującym tworzenie złośliwych adresów URL, które wywołują dowolne wywołania usług w domenie Fiori. Otworzenie takiego linku przez użytkownika może prowadzić do kompromitacji kont poprzez kradzież danych uwierzytelniających.
Nieodpowiednia implementacja w trybie Gościa w Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
W Google Chrome na systemie Windows przed wersją 149.0.7827.103 wystąpiło wykorzystanie niezainicjowanej pamięci w module wideo, co pozwalało zdalnemu atakującemu, który przejął proces renderera, na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.103 umożliwiała zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w MediaCapture w Google Chrome na Mac przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Przepełnienie całkowitej liczby w libyuv w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu, który przejął proces renderowania, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W Google Chrome na ChromeOS przed wersją 149.0.7827.103 wystąpiła podatność związana z odczytem danych poza przydzielonym zakresem, która pozwalała zdalnemu atakującemu, który przejął proces renderowania, na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W Google Chrome na systemach Linux i ChromeOS przed wersją 149.0.7827.103 występuje problem z nieinicjalizowanym użyciem w kodekach, który pozwala zdalnemu atakującemu na wyciek danych między źródłami za pomocą spreparowanego pliku wideo.

