Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W Flowise, przed wersją 3.1.2, występuje podatność na masowe przypisanie w punkcie końcowym aktualizacji narzędzi. Umożliwia to uwierzytelnionym użytkownikom modyfikację właściwości kontrolowanych przez serwer, co prowadzi do naruszenia izolacji najemców w środowiskach wielo-obsługowych.
W Apache HTTP Server w wersji 2.4.67 i wcześniejszych występuje podatność typu cross-site scripting w generowaniu listy katalogów HTML przez mod_proxy_ftp, gdy zawartość katalogu FTP jest wyświetlana za pomocą konfiguracji proxy.
W podatności w designcomputer mysql-mcp-server do wersji 0.2.2 zidentyfikowano lukę w funkcji read_resource w pliku src/mysql_mcp_server/server.py, która prowadzi do wstrzykiwania SQL. Atak zdalny jest możliwy, a exploit został publicznie ujawniony.
W jądrze Linuxa załatano podatność w sterowniku DRM vkms, polegającą na zastąpieniu niestandardowego timera vblank implementacją DRM. Błąd mógł prowadzić do nieprawidłowego działania synchronizacji pionowej.
OfflineIMAP w wersjach przed 8.0.3 ufa serwerowi w zakresie jego możliwości STARTTLS przed uwierzytelnieniem, co umożliwia ataki STRIPTLS oraz man-in-the-middle, przejmując połączenie i wyciągając dane logowania w postaci niezaszyfrowanej.
Podatność typu Origin Validation Error w module gun_http2 pozwala na wstrzykiwanie ciasteczek z różnych źródeł poprzez niezweryfikowane nagłówki HTTP/2 PUSH_PROMISE. Wartość nagłówka :authority jest przechowywana bez walidacji, co narusza standardy protokołu.
QloApps w wersji do 1.7.0 zawiera podatność na przechowywane ataki typu cross-site scripting w menedżerze plików dla administratorów, co pozwala na wstrzykiwanie złośliwego JavaScriptu poprzez przesyłanie spreparowanych plików SVG.
W systemie zarządzania bankiem Mohammed-eid35 zidentyfikowano podatność, która dotyczy nieznanej części pliku TransactionController.java. Manipulacja ta prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania zapasami SourceCodester w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy nieznanej funkcjonalności pliku /Product_Inventory/api/users_handler.php, gdzie manipulacja argumentem ROLE prowadzi do niewłaściwej autoryzacji.
Zidentyfikowano podatność w systemie zarządzania zapasami SourceCodester w wersji 1.0. Problem dotyczy nieznanej funkcji pliku /users.php w komponencie strony zarządzania użytkownikami, gdzie manipulacja argumentem fullname/username prowadzi do ataku typu cross-site scripting.
Wykryto podatność w UTT HiPER 2610G do wersji 3.0.0-171107, która dotyczy funkcji strcpy w pliku /goform/formNatStaticMap. Manipulacja argumentem NatBinds prowadzi do przepełnienia bufora.
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w wynikach aktywnych sprawdzeń odkrywania usług. Administratorzy mogą wstrzykiwać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach administratorów lub użytkowników z uprawnieniami do odczytu hostów.
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje niewłaściwe neutralizowanie znaków zakodowanych w HTML w funkcji walidacji URL. Umożliwia to uwierzytelnionemu użytkownikowi ominięcie walidacji URL i wstrzyknięcie złośliwych adresów URL, takich jak URI javascript:, co prowadzi do ataków typu cross-site scripting, gdy inny użytkownik wchodzi w interakcję z przygotowanym linkiem.
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w dzienniku zmian ustawień globalnych. Administratorzy mogą wprowadzać złośliwy kod HTML lub JavaScript, który jest wykonywany w przeglądarkach innych użytkowników podczas przeglądania strony Aktywuj zmiany lub dziennika audytu.
Błąd autoryzacji w widżecie wiadomości użytkownika w Checkmk <2.5.0p5 pozwala na zwracanie wiadomości twórcy dashboardu zamiast wiadomości widza. Atakujący, znając ważny token udostępnienia publicznego dashboardu, może odczytać osobiste wiadomości nadawcy, wysyłając żądania do odpowiedniego punktu końcowego.
W Checkmk w wersjach <2.5.0p5, <2.4.0p31, <2.3.0p48 oraz wszystkich wersjach 2.2.0 występuje podatność na przechowywane ataki XSS w widżecie dashboardu. Użytkownik z uprawnieniami do edytowania dashboardu może zapisać URL z niebezpiecznym schematem URI, takim jak javascript:, co pozwala na wykonywanie skryptów w przeglądarkach innych użytkowników podczas przeglądania dashboardu.
W systemie zarządzania profilami mieszkańców Barangay odkryto podatność, która dotyczy nieznanej funkcji w pliku password_reset.php. Manipulacja argumentem new_password z użyciem hasła 'password123' prowadzi do wykorzystania twardo zakodowanego hasła.
W systemie zarządzania szpitalem itsourcecode w wersji 1.0 znaleziono lukę, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem admissiontme w pliku /addpatient.php. Atak może być przeprowadzony zdalnie.
W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /adminaccount.php. Manipulacja argumentem Date prowadzi do wstrzyknięcia SQL.
W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność, która dotyczy nieznanego przetwarzania pliku /billing.php. Manipulacja argumentem patientid prowadzi do ataku typu cross site scripting.

