Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W produkcie HCLTech DRAGON przed wersją 7.6.0 wykryto podatność na atak typu Cross Site Scripting (XSS). Brak odpowiednich dyrektyw bezpieczeństwa umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w kontekście przeglądarki ofiary.
Podatność w Aquarius Desktop 3.0.069 dla macOS polega na przechowywaniu danych uwierzytelniających użytkownika w pliku lokalnym przy użyciu słabego schematu zaciemniania. Hasło jest „szyfrowane” przez przewidywalną substytucję bajtów, którą można łatwo odwrócić, co umożliwia natychmiastowe odzyskanie jawnego tekstu.
Podatność na trwałe skryptowanie między witrynami (XSS) w punkcie końcowym PwdGrp.cgi urządzenia AVTECH DGM1104 umożliwia atakującym wstrzyknięcie złośliwego kodu JavaScript lub HTML do pola nazwy użytkownika. Skuteczne wykorzystanie podatności pozwala na wykonanie dowolnych skryptów w kontekście przeglądarki ofiary.
W produkcie AVTECH SECURITY DGM1104 (wersja FullImg-1015-1004-1006-1003) wykryto uwierzytelnioną podatność na wstrzykiwanie poleceń w funkcji test_mail. Luka umożliwia atakującemu wykonanie dowolnych poleceń systemowych poprzez spreparowane dane wejściowe.
W ImageMagick, przed wersjami 7.1.2-9 i 6.9.13-34, występuje podatność w warstwie Magick++, która pojawia się, gdy Options::fontFamily jest wywoływane z pustym ciągiem. To prowadzi do zwolnienia pamięci, ale pozostawia wskaźnik na zwolnionej pamięci, co może skutkować awariami lub uszkodzeniem sterty.
Podatność CVE-2025-13505 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych, co prowadzi do ataków typu Cross-site Scripting (XSS). Dotyczy to wersji Datactive od 2.13.34 do przed 2.14.0.6, umożliwiając przechowywane XSS.
W Angularze, przed wersjami 21.0.2, 20.3.15 i 19.2.17, zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) w kompilatorze szablonów. Problem wynika z niekompletności wewnętrznego schematu zabezpieczeń kompilatora, co pozwala atakującym na obejście wbudowanej sanitizacji bezpieczeństwa Angulara.
W Snipe-IT przed wersją 8.3.4 odkryto podatność na trwały atak XSS w polu "Kraj" w lokalizacjach. Umożliwia ona uwierzytelnionemu użytkownikowi z niskimi uprawnieniami wstrzyknięcie kodu JavaScript, który wykona się w sesji innego użytkownika.
Podatność XSS w Snipe-IT przed wersją 8.3.4 umożliwia niskouprzywilejowanemu, uwierzytelnionemu użytkownikowi wstrzyknięcie JavaScript, który wykonuje się w sesji administratora, co prowadzi do eskalacji uprawnień.
Podatność w Seneka Software dotycząca niewłaściwego egzekwowania workflow behawioralnego pozwala na niewłaściwe wykorzystanie funkcjonalności. Problem dotyczy wersji Onaylarım od 25.09.26.01 do 18112025.
W podatności CVE-2025-13296 występuje luka typu Cross-Site Request Forgery (CSRF) w oprogramowaniu T-Soft E-Commerce firmy Tekrom Technology Inc. Umożliwia ona przeprowadzenie ataku CSRF.
W classroomio 0.1.13 wykryto podatność IDOR, która umożliwia studentom dostęp do wrażliwych endpointów administratora/nauczyciela poprzez manipulację identyfikatorami kursów w URL. Prowadzi to do chwilowego ujawnienia poufnych danych kursów, administratorów i studentów, zanim system przywróci normalne ograniczenia dostępu.
W Classroomio LMS 0.1.13 odkryto podatność na trwały atak XSS. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript poprzez specjalnie spreparowane obrazy SVG używane jako zdjęcia okładek.
W Classroomio LMS 0.1.13 odkryto podatność na trwały atak XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu poprzez spreparowane zdjęcia profilowe w formacie SVG.
W systemie SIGB PMB w wersji 8.0.1.14 wykryto wiele podatności na wstrzykiwanie SQL w komponencie /opac_css/ajax_selector.php. Luki występują w parametrach id oraz datas.
Podatność w kamerze bezpieczeństwa Blurams Lumi (A31C) w wersji oprogramowania v23.1227.472.2926 umożliwia lokalnemu atakującemu fizycznemu wykonanie dowolnego kodu poprzez nadpisanie bootloadera na karcie SD.
W YCCMS 3.4 odkryto podatność na trwałe XSS w funkcji zarządzania artykułami. Problem występuje w pliku ArticleAction.class.php w funkcjach add() i getPost() z powodu braku odpowiedniej neutralizacji danych wejściowych w polu tytułu artykułu.
W systemie OpenRapid RapidCMS 1.3.1 wykryto podatność na atak typu Cross Site Scripting (XSS) w pliku /user/user-move.php. Umożliwia ona wstrzyknięcie złośliwego skryptu do strony, który może zostać wykonany w przeglądarce ofiary.
Podatność CVE-2025-11963 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w StarCities, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.1.61.
Podatność CVE-2025-0421 dotyczy niewłaściwego ograniczenia renderowanych warstw interfejsu użytkownika lub ramek w oprogramowaniu Shopside firmy Shopside Software Technologies Inc. Problem ten występuje w wersji Shopside do 05022025, umożliwiając wykorzystanie nakładek iFrame.

