Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W systemie zarządzania opłatami itsourcecode w wersji 1.0 znaleziono lukę. Problem dotyczy nieznanej funkcji w pliku /manage_fee.php, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem ID.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność. Nieznana funkcja w pliku index.php pozwala na manipulację argumentem page, co prowadzi do ataku typu cross-site scripting (XSS).
eLabFTW to otwarte oprogramowanie do prowadzenia elektronicznych dzienników laboratoryjnych. Przed wersją 5.4.2, uwierzytelniony użytkownik wykonujący wyszukiwanie numeryczne mógł otrzymać wyniki zawierające zasoby, do których nie miał uprawnień. Ujawnione informacje są ograniczone do tytułów zasobów.
Kiteworks to sieć prywatnych danych (PDN). Przed wersją 9.3.0 występuje podatność typu Insecure Direct Object Reference (IDOR), która pozwala uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.
Kiteworks, będący prywatną siecią danych, zawierał podatność typu Insecure Direct Object Reference (IDOR) przed wersją 9.3.0. Umożliwia ona uwierzytelnionemu użytkownikowi modyfikację uprawnień do zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.
Kiteworks, będący prywatną siecią danych, przed wersją 9.3.0 miał podatność typu XSS, która pozwalała uwierzytelnionemu atakującemu na wykonanie dowolnego kodu JavaScript w sesjach innych użytkowników. Problem dotyczy formularzy danych w Kiteworks.
Kiteworks to sieć prywatnych danych (PDN). Przed wersją 9.3.0 występowała podatność typu Insecure Direct Object Reference (IDOR), która pozwalała uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników z powodu niewystarczających kontroli autoryzacji dotyczących własności zasobów.
Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0, która dotyczy nieznanej części pliku /manage_course.php. Manipulacja argumentem ID prowadzi do wstrzykiwania SQL.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 zidentyfikowano podatność. Manipulacja argumentem 'Username' w pliku /ajax.php może prowadzić do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Podatność CVE-2025-59614 dotyczy uszkodzenia pamięci, które występuje podczas wysyłania polecenia do generatora liczb losowych z niewystarczającym rozmiarem bufora wyjściowego. Może to prowadzić do nieprzewidzianych zachowań aplikacji.
Podatność CVE-2025-59613 dotyczy uszkodzenia pamięci, które występuje, gdy rozmiar bufora wyjściowego jest mniejszy niż rozmiar bufora wejściowego podczas operacji kopiowania danych. Może to prowadzić do nieprzewidzianych zachowań aplikacji.
Występuje uszkodzenie pamięci w sterownikach systemu Windows podczas wysyłania niepoprawnego żądania aplikacji zaufanej. Problem ten może prowadzić do nieprzewidzianego zachowania systemu.
Podatność CVE-2025-59611 dotyczy usługi diagnostycznej, w której występuje uszkodzenie pamięci spowodowane brakiem walidacji danych wejściowych. Może to prowadzić do nieautoryzowanego dostępu lub awarii systemu.
Podatność CVE-2025-59610 dotyczy uszkodzenia pamięci podczas przetwarzania żądań IOCTL z niedopasowanymi wersjami API, co jest spowodowane równoczesną modyfikacją bufora w przestrzeni użytkownika. Może to prowadzić do nieprzewidzianych zachowań systemu.
Podatność CVE-2025-59609 dotyczy ujawnienia informacji podczas przetwarzania ramek reklamowych z nieprawidłowymi elementami MBSSID o niewystarczającej długości. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych.
Podatność CVE-2025-59601 umożliwia ujawnienie informacji podczas resetowania urządzenia do ustawień fabrycznych za pomocą interfejsu powerline, co pozwala na nieautoryzowany dostęp do konfiguracji urządzenia.
W metodzie fixInitiatingUserIfNecessary w pliku CallIntentProcessor.java występuje błąd logiczny, który może umożliwić wykonanie połączenia alarmowego. Wykorzystanie tej podatności nie wymaga interakcji ze strony użytkownika.
W wielu funkcjach DevicePolicyManagerService.java występuje możliwe rozbieżność z trwałością z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do lokalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
Wykryto podatność w PackageKit do wersji 1.3.5, która dotyczy funkcji g_file_test w pliku src/pk-transaction.c komponentu API. Manipulacja argumentem frontend-socket prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w Enderfga claw-orchestrator do wersji 3.7.0, dotycząca funkcji validateRegex w pliku claw-orchestrator/src/embedded-server.ts. Manipulacja argumentem body.pattern prowadzi do nieefektywnej złożoności wyrażeń regularnych.

