Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wtyczka Recipe Card Blocks Lite dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybuty 'summary' i 'notes' bloku przepisu w wersjach do 3.4.13 włącznie. Problem wynika z metody 'WPZOOM_Helpers::deserialize_block_attributes', która konwertuje sekwencje zakodowane w unicode z powrotem na znaki HTML po zastosowaniu sanitizacji.
W Quay znaleziono lukę, która pozwala na przesyłanie plików SVG zawierających JavaScript przez uwierzytelnionego użytkownika z dostępem do zapisu w repozytorium. Plik jest przechowywany i serwowany przez CDN, co umożliwia atak typu stored cross-site scripting.
W systemie zarządzania urlopami CodeAstro w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej części pliku /admin/add_leave.php. Manipulacja argumentem type_of_leave prowadzi do wstrzyknięcia SQL.
Zidentyfikowano podatność w systemie zarządzania urlopami CodeAstro w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /admin/search_staff_for_updation.php, gdzie manipulacja argumentem 'Name' prowadzi do wstrzyknięcia SQL.
W systemie zarządzania urlopami CodeAstro w wersji 1.0 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /admin/search_staff_to_assign_pc.php. Manipulacja argumentem 'Name' prowadzi do wstrzykiwania SQL.
W systemie zarządzania urlopami CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /admin/delete_leave_type.php. Manipulacja argumentem leave_type prowadzi do wstrzyknięcia SQL.
W systemie zarządzania urlopami CodeAstro w wersji 1.0 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku /admin/search_staff_for_deletion.php. Manipulacja argumentem 'Name' prowadzi do wstrzykiwania SQL.
W urządzeniach GL.iNet A1300, AX1800, AXT1800, MT2500, MT3000, MT6000, X3000 i XE3000 w wersji 4.8.x znaleziono lukę w nieznanej funkcji komponentu glnassys. Wykonanie manipulacji może prowadzić do wykorzystania twardo zakodowanego klucza kryptograficznego.
Zidentyfikowano podatność w Weaviate do wersji 1.37.7, która dotyczy funkcji validateConfig w pliku usecases/auth/authentication/apikey/client.go komponentu Static API Key Handler. Manipulacja argumentem StaticApiKey prowadzi do obejścia autoryzacji.
Wykryto podatność w D-Link DCS-5615 w wersji 1.01.00, dotycząca nieznanej funkcjonalności pliku /etc/conf.d/boa/boa.conf komponentu Boa Webserver. Manipulacja tą funkcjonalnością prowadzi do naruszenia zasady minimalnych uprawnień.
W systemie zarządzania zapasami składników CodeAstro w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /Ingredients-Stock/add_stock.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.
Wykryto podatność w urządzeniu TOTOLINK AC1200 T8 w wersji 4.1.5cu.8611, dotycząca pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.
Zidentyfikowano słabość w Tenda AC15 15.03.05.19, dotyczącą nieznanej funkcji pliku /etc_ro/smb.conf komponentu Samba. Manipulacja tym elementem może prowadzić do słabych wymagań dotyczących haseł.
W urządzeniu D-Link DIR-823G w wersji 1.0.2B05 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym elementem prowadzi do naruszenia zasady minimalnych uprawnień.
W Neovim do wersji 0.12.2 zidentyfikowano lukę w funkcji M.read w pliku runtime/lua/vim/secure.lua, która może prowadzić do wstrzyknięcia poleceń. Manipulacja argumentem path umożliwia atak na lokalnym hoście.
Wykryto podatność w Chengdu Everbrite Network Technology BeikeShop do wersji 1.6.0.22, która umożliwia zdalne wykonanie ataku SQL injection poprzez manipulację argumentem settings.value w pliku beike/Admin/Routes/admin.php.
Wykryto podatność w wersji 0.35.0 komponentu Qdrant Backend w bibliotece yoanbernabeu grepai. Problem dotyczy nieznanego przetwarzania pliku indexer/chunker.go, co prowadzi do użycia słabego hasha.
Wykryto podatność w hs-web hsweb-framework do wersji 5.0.1, która dotyczy funkcji OAuth2Client. Manipulacja prowadzi do otwartego przekierowania, co może być wykorzystane przez atakującego zdalnie.
W systemie zarządzania studentami Kushan2k wykryto podatność, która dotyczy funkcji edit-admin w pliku controllers/AdminController.php. Manipulacja argumentem isadmin prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne wykorzystanie tej luki.
Zidentyfikowano słabość w systemie zarządzania studentami Kushan2k, która dotyczy funkcji getStatus w pliku controllers/GradeController.php. Manipulacja argumentem nic może prowadzić do wstrzyknięcia SQL, co stwarza ryzyko zdalnych ataków.

