Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Zidentyfikowano podatność w OFCMS w wersji 1.1.3, która dotyczy funkcji Query w pliku SystemDictController.java. Problem ten prowadzi do możliwości wstrzyknięcia SQL i może być wykorzystany zdalnie.
W bibliotece Assimp do wersji 6.0.4 zidentyfikowano podatność w funkcji glTFCommon::CopyValue w pliku glTFCommon.h, dotyczącą parsera macierzy 4x4. Manipulacja tą funkcją może prowadzić do przepełnienia bufora w pamięci heap.
Nieprawidłowa domyślna konfiguracja w OTRS 2026.3.1 powoduje, że akcje przesyłania artykułów biletów domyślnie wymuszają flagę „Widoczne dla klienta” i uniemożliwiają użytkownikom jej wyłączenie przez interfejs użytkownika. To prowadzi do niezamierzonego ujawnienia wewnętrznych informacji o biletach w zewnętrznym interfejsie.
Zidentyfikowano słabość w OFFIS DCMTK 3.7.0, która dotyczy funkcji DcmQueryRetrieveIndexDatabaseHandle::deleteOldestImages. Wykonanie manipulacji może prowadzić do przepełnienia bufora w stercie, co może być zrealizowane zdalnie.
W OFCMS w wersjach do 1.1.3 odkryto lukę bezpieczeństwa w funkcji Query w pliku ComnController.java. Manipulacja argumentem system.user.query prowadzi do podatności na atak typu SQL injection, który może być przeprowadzony zdalnie.
Wykryto podatność w Tenda W12 w wersji 3.0.0.7(4763), która dotyczy funkcji cgiSysWebTimeoutSet w pliku /bin/httpd interfejsu zarządzania przez sieć. Manipulacja argumentem web_over_time prowadzi do odmowy usługi.
W TRENDnet TEW-432BRP w wersji 3.10B20 zidentyfikowano podatność w funkcji formWlanSetup, która może prowadzić do wstrzyknięcia poleceń poprzez manipulację argumentem enrollee. Atak można przeprowadzić zdalnie, a exploit został publicznie ujawniony.
Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSysCmd w pliku /goform/formSysCmd. Manipulacja argumentem sysCmd prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w Aider-AI Aider 0.86.3, która dotyczy funkcji requests.get w pliku api_docs.py komponentu AWS EC2 Metadata Endpoint. Manipulacja prowadzi do ataku typu server-side request forgery, który może być przeprowadzony zdalnie.
Zidentyfikowano słabość w Aider-AI Aider 0.86.3, dotyczącą nieznanej funkcjonalności komponentu Code Generation Workflow. Wykonanie manipulacji może prowadzić do ataku typu SQL injection, który może być przeprowadzony zdalnie.
W Aider-AI w wersji 0.86.3 odkryto lukę bezpieczeństwa w funkcji editor_coder.run w pliku auth.py komponentu Architect Mode. Wykonanie manipulacji prowadzi do wstrzyknięcia kodu, co umożliwia zdalne wykorzystanie tej podatności.
Zidentyfikowano podatność w Aider-AI Aider w wersji 0.86.3, dotycząca nieznanej funkcji w pliku aider/args.py komponentu Pre-commit Hook Handler. Manipulacja argumentem git-commit-verify prowadzi do awarii mechanizmu ochrony.
Zidentyfikowano słabość w Orthanc Explorer w wersjach do 1.12.0. Problem dotyczy nieznanej funkcji w pliku WebApplication/src/components/StudyList.vue, która umożliwia ataki typu cross-site scripting poprzez manipulację argumentem remote-source.
W systemie zarządzania zapasami Bdtask Multi-Store w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji Upload w pliku application/modules/dashboard/controllers/Module.php, gdzie manipulacja argumentem module prowadzi do nieograniczonego przesyłania plików.
Wykryto podatność w systemie Online Music Site w wersji 1.0, która dotyczy pliku /Administrator/PHP/AdminUpdateAlbum.php. Manipulacja argumentem ID prowadzi do możliwości wstrzyknięcia SQL.
W systemie zarządzania wizytami (Visitor Management System) w wersji 1.0 znaleziono lukę, która dotyczy nieznanej funkcjonalności pliku /vms/php/phone_0.php. Manipulacja argumentem 'phone' prowadzi do wstrzykiwania SQL.
W systemie zarządzania uczniami OUSL-GROUP-BrinaryBrains zidentyfikowano podatność w funkcji marks w pliku application/controllers/Parents.php. Manipulacja argumentem param1 prowadzi do niewłaściwej kontroli identyfikatorów zasobów, co umożliwia zdalne przeprowadzenie ataku.
Wtyczka Advanced Custom Fields (ACF®) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 6.8.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonania akcji, co pozwala nieautoryzowanym atakującym na nadpisanie post_title i post_content dowolnego posta powiązanego z publicznie dostępną instancją acf_form().
W urządzeniu Edimax BR-6478AC w wersji 1.23 zidentyfikowano podatność, która dotyczy funkcji formWlbasic w pliku /goform/formWlbasic. Manipulacja argumentem rootAPmac prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
W Open5GS w wersjach do 2.7.7 zidentyfikowano podatność w funkcji handle_amf_info w bibliotece /lib/sbi/nnrf-handler.c komponentu nf-instances Endpoint. Manipulacja argumentem nf_info_pool może prowadzić do nadmiernego zużycia zasobów.

