Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Wykryto podatność w NousResearch hermes-agent do wersji 2026.4.30, która dotyczy funkcji _handle_webhook_request w pliku gateway/platforms/feishu.py komponentu Webhook Endpoint. Manipulacja tą funkcją prowadzi do nadmiernego zużycia zasobów.
Zidentyfikowano słabość w NousResearch hermes-agent do wersji 2026.4.30, która dotyczy funkcji _scan_memory_content w pliku tools/memory_tool.py. Manipulacja ta prowadzi do wstrzyknięcia, a atak może być inicjowany zdalnie.
Wykryto lukę bezpieczeństwa w NousResearch hermes-agent do wersji 2026.4.30, dotyczącą funkcji _sanitize_env_lines w pliku hermes_cli/config.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia złośliwego kodu.
W OTRS i ((OTRS)) Community Edition występuje niewłaściwe neutralizowanie aktywnej zawartości SVG w renderowaniu artykułów zgłoszeń, co pozwala atakującym na wstrzykiwanie specjalnie przygotowanych ładunków SVG przez treść e-maila. Może to prowadzić do wyczerpania zasobów po stronie przeglądarki i odmowy usługi, gdy dotknięte zgłoszenia są otwierane przez agenta lub klienta.
W module OTRS Customer Backend występuje podatność związana z niewłaściwą walidacją danych wejściowych, która umożliwia dostęp do informacji o klientach, które są zastrzeżone dla innych grup. Aby być narażonym na tę podatność, funkcja musi być włączona, a wsparcie dla grup klientów musi być używane.
Nieograniczona alokacja zasobów w obsłudze e-mail w OTRS może prowadzić do nadmiernej alokacji, co z kolei może spowodować awarię serwera WWW. Problem ten dotyczy wersji OTRS 8.0.X, 2023.X, 2024.X, 2025.X oraz 2026.X przed 2026.4.X.
W sterowniku WLAN STA występuje możliwy błąd prowadzący do awarii systemu z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego odmowy usługi, wymagając uprawnień użytkownika do wykonania.
W geniezone występuje możliwe zapisanie poza przydzielonym obszarem pamięci z powodu warunków wyścigu. Może to prowadzić do lokalnego podniesienia uprawnień, jeśli złośliwy aktor już uzyskał uprawnienia systemowe.
W geniezone występuje możliwe zapisanie poza granicami z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień, jeśli złośliwy aktor już uzyskał uprawnienia systemowe.
Wykryto podatność w nextlevelbuilder GoClaw do wersji 3.11.3, która dotyczy funkcji auth w pliku internal/http/evolution_handlers.go. Manipulacja ta prowadzi do niewłaściwej autoryzacji, co może być wykorzystane przez zdalnego atakującego.
W systemie nextlevelbuilder GoClaw do wersji 3.11.3 znaleziono lukę w funkcji handleSave w pliku internal/http/tts_config.go komponentu RoleAdmin Gateway. Problem ten prowadzi do niewłaściwego zarządzania uprawnieniami.
W systemie Dolibarr ERP CRM do wersji 23.0.1 wykryto podatność bezpieczeństwa w funkcji checkUserAccessToObject w pliku htdocs/holiday/class/api_holidays.class.php, dotyczącą REST API wniosków urlopowych. Manipulacja tą funkcją prowadzi do niewłaściwej autoryzacji, co może umożliwić zdalny atak.
Wykryto lukę bezpieczeństwa w AstrBotDevs AstrBot w wersji 4.23.6, która dotyczy nieznanego kodu w pliku /api/skills/delete komponentu API Endpoint. Manipulacja argumentem Name prowadzi do przejścia przez ścieżkę, co może być wykorzystane w atakach zdalnych.
Zidentyfikowano podatność w AstrBotDevs AstrBot w wersji 4.24.2, która dotyczy funkcji astr_main_agent w pliku astrbot/core/astr_main_agent.py. Manipulacja argumentem session_id prowadzi do obejścia autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2026-10211 zidentyfikowano problem w AstrBot 4.23.6, dotyczący funkcji _normalize_rw_path w pliku astrbot/core/tools/computer_tools/fs.py. Manipulacja ta prowadzi do nieprawidłowej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2026-10210 w AstrBot 4.23.6 zidentyfikowano problem w funkcji _sanitize_prompt_description w pliku astrbot/core/skills/skill_manager.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia kodu, co może być przeprowadzone zdalnie.
W systemie zarządzania szpitalem Online Hospital Management System w wersji 1.0 odkryto podatność. Nieznana funkcja w pliku appointmentdetail.php komponentu Appointment Handler umożliwia wstrzyknięcie SQL poprzez manipulację argumentem editid.
Wykryto podatność w oprogramowaniu Metasoft 美特软件 MetaCRM 6.4.0, która dotyczy nieznanej funkcji w pliku develop/systparam/softlogo/upload.jsp. Manipulacja tą funkcją prowadzi do nieograniczonego przesyłania plików.
Zidentyfikowano słabość w OFCMS w wersji 1.1.3, dotyczącą funkcji Query w pliku SysUserController.java. Manipulacja ta prowadzi do podatności na atak typu SQL injection, który może być inicjowany zdalnie.
W OFCMS w wersji 1.1.3 odkryto lukę bezpieczeństwa w funkcji Query w pliku SystemParamController.java, która umożliwia atak typu SQL injection. Atak może być przeprowadzony zdalnie, a exploit został publicznie udostępniony.

