Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Brak szyfrowania w znaczniku RFID zamka Suleve 5-w-1 Smart Door Lock v1.0 umożliwia atakującym stworzenie sklonowanego znacznika poprzez krótką fizyczną bliskość do oryginalnego urządzenia.
Brak szyfrowania w tagu RFID systemu zabezpieczeń smart home Digoo DG-HAMB w wersji 1.0 umożliwia atakującym stworzenie sklonowanego tagu poprzez krótką fizyczną bliskość do oryginalnego urządzenia.
Podatność w Keystone, open source'owym headless CMS dla Node.js, pozwala na publiczny dostęp do zapytania GraphQL `adminMeta`, gdy `ui.isAccessAllowed` jest ustawione na `undefined`. To różni się od domyślnego zachowania middleware AdminUI, które wymaga sesji, jeśli strategia sesji jest zdefiniowana.
W phpRecDB w wersji 1.3.1 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem r/view w pliku /index.php. Problem został oceniony jako problematyczny.
Wykryto podatność w PostgreSQL związaną z użyciem polecenia MERGE, które nie sprawdza nowych wierszy pod kątem polityk bezpieczeństwa wierszy zdefiniowanych dla operacji UPDATE i SELECT. Użytkownik mógłby przechowywać wiersze, które są zabronione przez polityki UPDATE i SELECT, ale dozwolone przez polityki INSERT.
Mattermost nie usuwa załączników podczas usuwania wiadomości w wątku, co pozwala zwykłemu użytkownikowi na dostęp i pobranie załącznika z usuniętej wiadomości.
W oprogramowaniu Intel(R) RealSense(TM) ID dla Intel(R) RealSense(TM) 450 FA w wersji 0.25.0 występuje błąd zapisu poza przydzielonym obszarem pamięci, który może umożliwić uwierzytelnionemu użytkownikowi potencjalne podniesienie uprawnień poprzez lokalny dostęp.
Błędy logiki biznesowej w repozytorium GitHub froxlor/froxlor przed wersją 2.0.22 oraz 2.1.0 mogą prowadzić do nieautoryzowanego dostępu lub nieprawidłowego działania aplikacji.
Podczas gdy aplikacja jest w tle, a użytkownik przechodzi do przełącznika zadań w systemie iOS, zrzut ekranu aplikacji nie jest rozmyty, co może ujawnić wrażliwe informacje.
Podczas gdy aplikacja jest w tle, a użytkownik przechodzi do przełącznika zadań w systemie iOS, zrzut ekranu aplikacji nie jest rozmyty, co może ujawnić wrażliwe informacje.
Podatność CVE-2023-37511 dotyczy nieprawidłowych ustawień App Transport Security (ATS), które mogą prowadzić do niebezpiecznego ładowania treści internetowych. W przypadku niewłaściwej konfiguracji, aplikacje mogą być narażone na ataki związane z bezpieczeństwem.
Nextcloud Server umożliwia przechowywanie danych dla platformy chmurowej Nextcloud. W wersjach od 24.0.4 do 25.0.8, 26.0.3 i 27.0.0, użytkownicy mogli dodawać obrazy do plików tekstowych i pobierać je, nawet jeśli folder z obrazami nie miał uprawnień do pobierania.
Nextcloud Server, platforma chmurowa typu open source, ma podatność, która pozwala nieautoryzowanym użytkownikom na wysyłanie żądań DAV, ujawniających istnienie kalendarza lub książki adresowej dla danego identyfikatora. Problem dotyczy wersji od 25.0.0 do 25.0.8, 26.0.0 do 26.0.3 oraz 27.0.0 do 27.0.0.
Aplikacja Notes w Nextcloud, od wersji 4.4.0 do 4.8.0, ma problem z renderowaniem zawartości plików HTML w podglądzie zamiast oferowania ich do pobrania.
Moduł user_oidc, który zapewnia backend OIDC connect dla Nextcloud, ma lukę, która pozwala atakującemu na podszywanie się pod serwer Nextcloud, jeśli uzyskał przynajmniej dostęp do odczytu z migawki bazy danych. Problem występuje w wersjach od 1.0.0 do 1.3.2, a wersja 1.3.3 zawiera poprawkę.
W panelach internetowych serii WP 6xxx firmy PHOENIX CONTACT w wersjach przed 4.0.10, uwierzytelniony zdalny atakujący z uprawnieniami administratora może odczytać zakodowane klucze kryptograficzne, co pozwala mu na tworzenie ważnych ciasteczek sesyjnych.
Produkty FFRI yarai oraz ich wersje OEM niewłaściwie obsługują wyjątkowe warunki, co może prowadzić do stanu odmowy usługi (DoS). Dotyczy to wielu wersji FFRI yarai oraz powiązanych produktów.
Dangerzone to oprogramowanie do konwertowania potencjalnie niebezpiecznych plików na bezpieczne PDF-y. W wersjach przed 0.4.2, jeśli kontener jest skompromitowany, atakujący może wprowadzać fałszywe komunikaty w terminalu użytkownika lub zmieniać tytuł okna.
Zidentyfikowano podatność w aplikacjach Parasolid i Teamcenter Visualization, która dotyczy wersji wcześniejszych niż określone. Problem polega na wyczerpaniu stosu podczas analizy specjalnie przygotowanego pliku X_T, co może prowadzić do awarii usługi.
Zidentyfikowano podatność w aplikacjach Parasolid i Teamcenter Visualization, która występuje w wersjach wcześniejszych niż określone. Problem polega na dereferencji wskaźnika null podczas analizy specjalnie przygotowanych plików X_T, co może umożliwić atakującemu wykonanie kodu w kontekście bieżącego procesu.

