Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W sterowniku NDIS Usermode IO (RtkIOAC60.sys) w wersji 6.0.5600.16348 wykryto podatność, która pozwala lokalnie uwierzytelnionemu atakującemu na wysłanie spreparowanego żądania IOCTL, powodując odmowę usługi (DoS).
W PerfreeBlog w wersji 4.0.11 wykryto podatność na dowolny odczyt plików w funkcji validThemeFilePath. Umożliwia ona atakującemu odczytanie dowolnych plików na serwerze.
Podatność w mechanizmie aktualizacji oprogramowania sprzętowego kamery Nous W3 Smart WiFi Camera w wersji 1.33.50.82 umożliwia nieuwierzytelnionym atakującym z fizycznym dostępem podniesienie uprawnień do poziomu roota poprzez dostarczenie spreparowanego archiwum update.tar na karcie SD sformatowanej w systemie FAT32.
W MCMS v6.0.1 wykryto podatność na odbity cross-site scripting (XSS). Umożliwia ona atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary poprzez spreparowany atak.
W podatności CVE-2025-10727 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w oprogramowaniu AcBakImzala firmy ArkSigner Software and Hardware Inc., co pozwala na ataki typu Reflected XSS. Problem dotyczy wersji AcBakImzala przed 5.1.4.
Wtyczka Moodle OpenAI Chat Block w wersji 3.0.1 (2025021700) zawiera podatność IDOR z powodu niewystarczającej walidacji parametru blockId w /blocks/openai_chat/api/completion.php. Uwierzytelniony student może podszyć się pod blok innego użytkownika (np. administratora) i wysyłać zapytania wykonywane z konfiguracją tego bloku.
Podatność CVE-2025-10612 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w City Guide od giSoft Information Technologies, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach przed 1.4.45.
W jądrze Linuxa zidentyfikowano podatność związaną z obsługą odpinania sterownika podczas operacji odczytu i zapisu. Wprowadzone zmiany implementują licznik odniesień, który pozwala na bezpieczne usunięcie urządzeń przed odpięciem sterownika.
Podatność CVE-2025-8884 dotyczy oprogramowania ACE Center firmy VHS Electronic Software Ltd. Co. i pozwala na obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co może prowadzić do nadużycia uprawnień oraz wykorzystania zaufanych identyfikatorów.
Podatność Stored XSS w komponencie czatu CobbleStone Enterprise Contract Management Portal w wersji 22.4.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w przeglądarce ofiary. Producent informuje, że problem dotyczy wyłącznie przestarzałej, niewspieranej wersji, która nie jest już używana.
W pliku mexcel.php w Vfront 0.99.52 występuje podatność na deserializację niesprawdzonego wejścia użytkownika. Funkcja unserialize jest wywoływana na danych z $_POST['mexcel'] po dekodowaniu base64, bez walidacji i bez ograniczenia dozwolonych klas. Umożliwia to atakującemu wstrzyknięcie dowolnych obiektów PHP, co może prowadzić do zdalnego wykonania kodu, wstrzyknięcia SQL, przejścia ścieżek lub odmowy usługi.
W kodzie źródłowym ATLAS-EPIC w commit f29312c (z 2025-05-26) znaleziono zakodowane na stałe poświadczenia (hardcoded credentials). Oznacza to, że dane uwierzytelniające są bezpośrednio osadzone w repozytorium, co umożliwia ich odczytanie każdemu, kto ma dostęp do kodu.
Podatność w narzędziu luksmeta dla formatu LUKS1 umożliwia uszkodzenie danych przez zapis zbyt dużej ilości metadanych. Brak walidacji dostępnego miejsca powoduje nadpisanie i trwałe zniszczenie zaszyfrowanych danych użytkownika.
W module vfs_streams_xattr oprogramowania Samba stwierdzono wadę polegającą na zapisywaniu niezainicjalizowanej pamięci sterty do alternatywnych strumieni danych. Umożliwia to uwierzytelnionemu użytkownikowi odczytanie resztkowej zawartości pamięci, która może zawierać wrażliwe dane, prowadząc do wycieku informacji.
Podatność typu Reflected XSS w FortiOS, FortiProxy i FortiSASE umożliwia nieuwierzytelnionemu atakującemu wykonanie skryptów w przeglądarce ofiary poprzez spreparowane żądania HTTP. Problem wynika z niewłaściwego neutralizowania danych wejściowych podczas generowania strony internetowej.
W MCMS v6.0.1 wykryto podatność umożliwiającą dowolne przesyłanie plików. Atakujący może wykorzystać tę lukę do wykonania dowolnego kodu poprzez przesłanie spreparowanego pliku.
W systemie Simple Online Hotel Reservation System 1.0 wykryto podatność na atak XSS w funkcji dodawania pokoju. Złośliwy kod JavaScript wprowadzony w polu Description może wykraść ciasteczka administratora podczas przeglądania informacji o pokoju.
Podatność CVE-2025-8887 w systemie Aybs Interaktif firmy Usta Information Systems Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania, wstrzykiwania parametrów oraz manipulacji danymi wejściowymi. Problem ten występuje od 2024 roku do 28 sierpnia 2025 roku.
Podatność CVE-2025-8886 dotyczy niewłaściwego przypisania uprawnień do krytycznych zasobów w systemie Aybs Interaktif, co prowadzi do możliwości nadużycia uprawnień oraz ominięcia autoryzacji. Problem ten może skutkować ujawnieniem wrażliwych informacji osobom nieuprawnionym.
W systemie Simple Scheduling System 1.0 od code-projects wykryto podatność na atak typu Cross Site Scripting (XSS) w polu Subject Description. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript do strony.

