Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W systemie Vanilla OS 2 Core obraz v1.1.0 od fabricators Ltd wykryto statyczne klucze SSH, co umożliwia atakującym przeprowadzenie ataku typu man-in-the-middle podczas połączeń z innymi hostami.
W Eramba Community i Enterprise w wersji 3.26.0 wykryto błędną konfigurację CORS, która pozwala na odbicie nagłówka Origin w odpowiedzi Access-Control-Allow-Origin z ustawioną flagą Access-Control-Allow-Credentials: true. Umożliwia to złośliwym stronom trzecim wykonywanie uwierzytelnionych żądań międzyoriginowych do API Eramba, w tym do endpointów /system-api/login i /system-api/user/me, co prowadzi do wycieku wrażliwych danych sesji użytkownika.
System D3D Wi-Fi Home Security ZX-G12 v2.1.17 jest podatny na zagłuszanie RF na kanale czujnika alarmowego 433 MHz. Atakujący w zasięgu RF może transmitować ciągłe zakłócenia blokujące transmisje czujników, co prowadzi do pominięcia alarmów i utraty monitorowania bezpieczeństwa. Urządzenie nie posiada detekcji zagłuszania ani zabezpieczeń, co stwarza warunki do ataku DoS.
W Angularze, platformie do tworzenia aplikacji webowych, zidentyfikowano podatność typu cross-site scripting (XSS) w kompilatorze szablonów. Problem wynika z niewłaściwego rozpoznawania atrybutów href i xlink:href w elementach SVG <script> jako kontekstu URL zasobów. Został on naprawiony w wersjach 19.2.18, 20.3.16, 21.0.7 oraz 21.1.0-rc.0.
W Keycloak znaleziono lukę, która dotyczy parsera nagłówka autoryzacji. Parser ten jest zbyt tolerancyjny wobec formatowania schematu autoryzacji 'Bearer', akceptując niestandardowe znaki jako separatory oraz tolerując różnice w wielkości liter, które odbiegają od specyfikacji RFC 6750.
W przeglądarce internetowej realme w wersji 45.13.4.1 wykryto podatność umożliwiającą zdalnemu atakującemu wykonanie dowolnego kodu poprzez spreparowaną stronę internetową wbudowaną w przeglądarkę HeyTap/ColorOS. Producent kwestionuje to znalezisko, a sprawa jest w trakcie weryfikacji.
Zgłoszono podatność typu przejście ścieżki, która dotyczy kilku wersji systemu operacyjnego QNAP. Zdalny atakujący posiadający konto administratora może wykorzystać tę podatność do odczytu zawartości nieoczekiwanych plików lub danych systemowych.
Podatność w REDCap 14.3.13 umożliwia atakującemu enumerację nazw użytkowników poprzez obserwowalną różnicę w odpowiedziach na próby logowania.
Wykryto podatność w ZKTeco BioTime do wersji 9.0.3/9.0.4/9.5.2, która dotyczy nieznanej części pliku /base/safe_setting/ komponentu Endpoint. Manipulacja argumentem backup_encryption_password_decrypt/export_encryption_password_decrypt prowadzi do niechronionego przechowywania poświadczeń.
W telefonie Yealink T21P_E2 w wersji 52.84.0.15 wykryto podatność na przechodzenie do katalogów. Zdalny atakujący z podstawowymi uprawnieniami może odczytać dowolne pliki poprzez spreparowane żądanie do funkcji odczytu wyników komponentu diagnostycznego.
Podatność CVE-2025-2154 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie Specto CM, co prowadzi do możliwości ataku typu Stored XSS. Problem ten dotyczy wersji przed 17032025.
W jądrze Linuxa zidentyfikowano podatność, która występuje podczas dodawania urządzenia portowego do urządzenia typu team, gdy port jest już aktywny. Modyfikacja nagłówka urządzenia team może prowadzić do nieprawidłowego wskazywania danych prywatnych, co skutkuje błędami w działaniu systemu.
W module Media systemu Piranha CMS w wersji 12.1 wykryto podatność na trwały atak XSS. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML w pole Name, co prowadzi do wykonania skryptów w przeglądarce ofiary.
W Piranha CMS v12.1 w module Page Settings wykryto podatność na trwały cross-site scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do pola Excerpt, co prowadzi do wykonania skryptów w przeglądarce ofiary.
Podatność typu 'Open Redirect' w systemie dostarczania jedzenia online firmy Restajet Information Technologies Inc. umożliwia przekierowanie użytkowników na niezaufane strony, co może prowadzić do phishingu oraz nieautoryzowanego przeglądania.
W SoliClub od Utarit Informatics Services Inc. występuje luka związana z brakiem autoryzacji, która umożliwia nadużycie uprawnień. Problem dotyczy wersji przed 5.3.7.
W podatności CVE-2025-14347 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w systemie OBS (Student Affairs Information System)0, co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji przed 26.5009.
W routerze Dbit N300 T1 Pro z oprogramowaniem V1.0.0 brak ograniczenia szybkości żądań do endpointu /api/login, co umożliwia atakującym przeprowadzenie ataku brute-force na hasło.
W urządzeniu Hitron HI3120 w wersji 7.2.4.5.2b1 wykryto podatność, która umożliwia lokalnemu atakującemu uzyskanie wrażliwych informacji poprzez opcję wylogowania w pliku index.html.
W MISP przed wersją 2.5.28 występuje podatność na XSS w pliku app/View/Elements/Workflows/executionPath.ctp, co pozwala na wstrzyknięcie złośliwego kodu w ścieżce wykonania workflow.

