Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.
Wtyczka Embed Privacy dla WordPressa zawiera podatność na path traversal, która pozwala atakującemu na dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.12.3.
Podatność w libzypp przed wersją 17.38.10 umożliwia zdalnym atakującym nadpisywanie plików systemowych poprzez błąd względnej ścieżki podczas przetwarzania metadanych repozytorium. Może to prowadzić do odmowy usługi lub eskalacji uprawnień.
W Yelp wykryto podatność spowodowaną zbyt liberalną polityką bezpieczeństwa treści (CSP) w yelp-xsl. Złośliwa aplikacja Flatpak może otworzyć spreparowaną treść pomocy przez portal OpenURI, osadzając niezaufany arkusz CSS w strukturalnym dokumencie SVG. Atakujący może ominąć izolację sandboksową Flatpaka, co pozwala Yelp na ocenę lokalnych dołączeń XML i ujawnienie dowolnych plików hosta dostępnych dla użytkownika poprzez zdalne żądania zasobów CSS.
W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS w pliku /admin/mod_room/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie złośliwego skryptu. Exploit jest publicznie dostępny.
W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS. Nieznana część pliku /admin/mod_users/controller.php?action=edit w komponencie POST Request Handler pozwala na manipulację argumentem Name, co prowadzi do wykonania skryptów po stronie przeglądarki. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
W systemie Online Hotel Management System 1.0 znaleziono podatność SQL Injection w pliku /admin/mod_users/controller.php?action=add. Manipulacja argumentem Name umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.
W systemie Online Hotel Management System 1.0 znaleziono podatność na atak XSS w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie skryptów. Exploit został opublikowany.
W systemie Online Hotel Management System 1.0 znaleziono lukę w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem image umożliwia nieograniczone przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Exploit został opublikowany i może być wykorzystany.
W systemie Online Hotel Management System 1.0 wykryto podatność SQL Injection w pliku /admin/mod_amenities/controller.php?action=edit. Atakujący może zdalnie manipulować argumentem amen_id, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
W bibliotece Eclipse tinydtls przed commitem b3efd41ad111a4920f599f51ffa4f5e9f1e72221 wykryto podatność na odczyt poza dozwolonym zakresem pamięci w funkcji check_server_certificate(). Nieuwierzytelniony atakujący może wysłać spreparowaną wiadomość uzgadniania certyfikatu z określoną wartością fragment_length, co prowadzi do odczytu poza buforem.
W bibliotece spice-vdagent wykryto podatność na przechodzenie do katalogów nadrzędnych (path traversal). Luka umożliwia złośliwemu lub skompromitowanemu hostowi SPICE zapis dowolnych plików w dowolnej lokalizacji w systemie gościa, ponieważ nazwa pliku dostarczana przez hosta nie jest odpowiednio oczyszczana przed użyciem.
W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty i awarii demona spice-vdagent. Powoduje to odmowę usługi (DoS) dla maszyny wirtualnej.
Wtyczka Simple User Avatar dla WordPressa zawiera podatność polegającą na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz. Umożliwia to wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu.
Podatność w usłudze IPC O+ Connect wynika z braku uwierzytelniania klientów. Zewnętrzne aplikacje mogą eskalować uprawnienia i wykonywać wrażliwe akcje przez kanał IPC.
W bibliotece libblkid pakietu util-linux wykryto podatność polegającą na użyciu zwolnionej pamięci sterty (use-after-free). Podczas skanowania zagnieżdżonych partycji, wskaźnik do wpisu partycji nadrzędnej staje się nieaktualny po realokacji tablicy, co umożliwia atakującemu odczyt z nieprawidłowego obszaru pamięci.
W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność SQL injection w pliku /editBaptism.php. Atakujący może zdalnie manipulować argumentem ID, co prowadzi do wstrzyknięcia kodu SQL. Exploit został ujawniony publicznie.
W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /delbaptism.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument ID, co umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.
W systemie CodeAstro Complaint Management System 1.0 wykryto lukę w funkcji deletereport w pliku Report.php. Umożliwia ona zdalne ominięcie autoryzacji poprzez manipulację punktem końcowym raportu.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /doctortimings.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

