Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Navigate CMS w wersji 2.8.5 zawiera podatność na traversję ścieżki, która pozwala uwierzytelnionym użytkownikom na pobieranie dowolnych plików poprzez wstrzykiwanie sekwencji traversji w parametrze id. Atakujący mogą wysyłać żądania GET do navigate_download.php z ładunkami traversji, aby uzyskać dostęp do wrażliwych plików konfiguracyjnych i systemowych poza zamierzonym katalogiem.
HaPe PKH w wersji 1.1 zawiera podatność na atak typu cross-site request forgery (CSRF), która umożliwia atakującym zmianę haseł administratorów poprzez wysyłanie sfałszowanych żądań do punktu aktualizacji użytkownika. Atakujący mogą tworzyć złośliwe formularze, które celują w skrypt aksi_user.php z parametrami takimi jak id_user, hasło i poziom, aby modyfikować dane logowania administratorów bez autoryzacji.
Wikidforum w wersji 2.20 zawiera podatność na atak typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez przesyłanie spreparowanego HTML w parametrze reply_text.
Podatność w narzędziu Mermaid (wersje przed 10.9.6 i 11.15.0) umożliwia wstrzykiwanie CSS poza zakres diagramu poprzez opcje konfiguracyjne fontFamily, themeCSS i altFontFamily. Wstrzyknięty CSS wykorzystuje mechanizm stylis do ominięcia automatycznego zakresowania, co pozwala na modyfikację wyglądu strony i kradzież atrybutów DOM za pomocą selektorów CSS :has().
Mermaid to narzędzie JavaScript, które wykorzystuje tekst inspirowany Markdownem do tworzenia i modyfikowania diagramów oraz wykresów. W wersjach przed 10.9.6 i 11.15.0 występuje atak typu denial-of-service podczas renderowania wykresów Gantt'a, jeśli użyto atrybutu excludes do wykluczenia wszystkich dat.
Podatność w motocyklu Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia fizycznemu atakującemu z dostępem do wiązki przewodów modułu WCM ominięcie blokady antykradzieżowej. Moduł WCM wysyła sygnał wyłączenia do innego sterownika poprzez zmianę napięcia na dedykowanej parze przewodów, ale odbiornik nie odróżnia aktywnego impulsu wyłączenia od stanu rozwarcia/odłączenia obwodu. Przerwanie odpowiednich przewodów pozostawia motocykl w pełni sprawnym, nawet jeśli WCM nie zweryfikował kodu PIN użytkownika.
Podatność w sieci wewnętrznej motocykla Indian Motorcycle Scout Bobber + Tech (model 2025) umożliwia atakującemu z sąsiedniej sieci ominięcie blokady antykradzieżowej poprzez zmuszenie modułu WCM do przejścia w stan CAN bus-off. Atak wykorzystuje technikę wstrzykiwania ramek błędów CAN, co powoduje zatrzymanie transmisji wszystkich komunikatów przez WCM, w tym komendy wyłączenia silnika. Pozostałe moduły nie interpretują braku transmisji jako zdarzenia bezpieczeństwa i kontynuują normalną pracę, umożliwiając uruchomienie motocykla bez odblokowania immobilizera.
AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych, zawiera lukę w pliku processPayment.json.php, która umożliwia atakującym dodawanie dowolnych środków do portfela zalogowanego użytkownika. Problem wynika z braku walidacji transakcji Authorize.Net oraz hardcodowania sukcesu płatności.
WWBN AVideo to otwarta platforma wideo, która w wersji 29.0 i wcześniejszych przechowuje opisy kategorii z danych wejściowych użytkowników i renderuje je jako surowy HTML w widoku galerii. Użytkownik, który może tworzyć lub edytować kategorie, może wprowadzić JavaScript w opisie kategorii, co skutkuje jego wykonaniem, gdy inny użytkownik przegląda stronę galerii/kategorii.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, nieautoryzowany zdalny atakujący może odczytać dowolne pliki graficzne na dysku, które użytkownik PHP może otworzyć, w tym prywatne zdjęcia profili użytkowników oraz miniatury przesyłane przez administratorów.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, plik view/update.php odczytuje $_POST['updateFile'] jako ścieżkę względną w katalogu updatedb/ i przekazuje ją do funkcji file() w PHP, co umożliwia wykonanie jej linia po linii w ramach migracji bazy danych.
WWBN AVideo to otwarta platforma wideo. W wersjach 29.0 i wcześniejszych plik objects/mention.json.php nie zawiera mechanizmu sprawdzania logowania użytkownika ani zabezpieczeń administracyjnych, co umożliwia nieautoryzowaną enumerację użytkowników.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersji 29.0 i wcześniejszych, pliki EpgParser.php, plugin/AI/receiveAsync.json.php oraz inne miejsca nie wykorzystują parametru wyjściowego $resolvedIP funkcji isSSRFSafeURL() do pinowania DNS za pomocą CURLOPT_RESOLVE, co otwiera możliwość ataku DNS-rebinding TOCTOU.
AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na atak typu cross-site request forgery (CSRF) w funkcji przełączania 2FA. Wtyczka plugin/LoginControl/set.json.php akceptuje żądania POST typu set2FA z wartością false, co pozwala na wyłączenie 2FA dla zalogowanego użytkownika bez odpowiednich zabezpieczeń.
n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. Przed wersją 2.51.3, sanitarz telemetrii workflow mógł zachować częściowe fragmenty parametrów węzłów w formacie URL przed wysłaniem danych workflow do anonimowego backendu telemetrii projektu.
AVideo to otwartoźródłowa platforma wideo, która w wersji 29.0 i wcześniejszych ma podatność na przechowywane ataki typu cross-site scripting. Wtyczka Live renderuje klucz strumienia transmisji na stronie HTML bez odpowiedniego zabezpieczenia, co pozwala na wykonanie złośliwego kodu JavaScript przez odwiedzających stronę.
DreamMaker opracowany przez Interinfo ma podatność na przejście ścieżki, która pozwala nieautoryzowanym zdalnym atakującym na odczyt nazw plików w dowolnej ścieżce, wykorzystując podatność na absolutne przejście ścieżki.
DreamMaker opracowany przez Interinfo ma podatność na odczyt dowolnych plików, która pozwala uprzywilejowanym lokalnym atakującym wykorzystać przejście przez względną ścieżkę do pobrania dowolnych plików systemowych.
Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWPS w pliku /goform/formWPS. Manipulacja argumentem peerPin prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w urządzeniu TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSetRoute w pliku /goform/formSetRoute. Manipulacja argumentami ip/mask/gateway prowadzi do możliwości wstrzyknięcia poleceń, co umożliwia zdalne wykorzystanie tej podatności.

