Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W wersjach JobSearch do 3.2.9 występuje nieautoryzowana podatność na SQL Injection, która może być wykorzystana przez atakującego do wykonania nieautoryzowanych zapytań do bazy danych.
W wersjach JetEngine do 3.8.10 występuje podatność na nieautoryzowaną iniekcję obiektów PHP.
Wersje SigmaForms Pro – AI Generated Forms do 1.4.5 zawierają podatność umożliwiającą nieautoryzowane przesyłanie dowolnych plików.
Wykryto podatność typu path traversal w dostawcy SFTP, która pozwala złośliwemu lub skompromitowanemu zdalnemu serwerowi SFTP na zapis plików poza skonfigurowanym lokalnym katalogiem docelowym. Atak nie wymaga konta Airflow i dotyczy każdej instalacji pobierającej katalogi z nieufnego serwera SFTP.
W wpForo Forum w wersjach do 3.1.0 występuje luka związana z nieautoryzowanym złamaniem uwierzytelniania.
W Thrive Apprentice w wersjach poniżej 10.8.10.2 występuje podatność na nieautoryzowaną injekcję obiektów PHP.
Wersje JetEngine poniżej 3.8.9.1 zawierają podatność na nieautoryzowaną injekcję SQL.
W wersjach wpDataTables do 7.3.6 występuje podatność na nieautoryzowaną iniekcję SQL.
Wersje JetSearch do 3.5.17 zawierają podatność na nieautoryzowaną injekcję SQL, co może prowadzić do nieautoryzowanego dostępu do danych.
W wersjach JetEngine do 3.8.9.1 występuje nieautoryzowana podatność na wstrzykiwanie SQL.
Wersje JetEngine do 3.8.9.1 są podatne na wstrzyknięcie obiektów PHP, co może prowadzić do nieautoryzowanego dostępu do danych.
Wersje LoginPress Pro do 6.2.2 zawierają podatność umożliwiającą nieautoryzowane podniesienie uprawnień.
W wersjach JetSmartFilters do 3.8.1 występuje podatność na nieautoryzowany atak SQL Injection.
Biblioteka Backpropagate w wersjach 1.1.0 i 1.1.1 posiada lukę, która umożliwia dostęp do interfejsu użytkownika bez uwierzytelnienia. Umożliwia to atakującym przesyłanie danych, uruchamianie treningów oraz dostęp do modeli bez żadnych zabezpieczeń.
Postiz to narzędzie do planowania postów w mediach społecznościowych. W wersjach przed 2.21.8, atakujący mógł wykorzystać lukę w integracji Skool, aby sfałszować sesję SUPERADMIN, co pozwalało na podszywanie się pod dowolne organizacje.
Aplikacja Traccar Client, służąca do śledzenia GPS, w wersjach 9.7.19 i poniżej, jest podatna na atak, który pozwala na przejęcie parametrów śledzenia GPS za pomocą spreparowanego linku głębokiego. Taki link może bez potwierdzenia zmienić konfigurację aplikacji, kierując dane telemetryczne na serwer kontrolowany przez atakującego.
Wersje Rocket.Chat poniżej 8.5.1, 8.4.4, 8.3.6, 8.2.6, 8.1.6, 8.0.7, 7.13.9, 7.10.13 mają podatność w zakresie kontroli dostępu do plików Livechat. Proces autoryzacji pobierania chronionych plików nie weryfikuje, czy rc_rid odpowiada żądanemu plikowi, co umożliwia nieautoryzowane odkrywanie wszystkich przesłanych plików.
W aplikacji Streambert w wersjach 2.4.0 i wcześniejszych zidentyfikowano podatność typu Zip Slip w logice ekstrakcji napisów. Aplikacja nie sanitizuje nazw plików wpisów archiwum podczas ekstrakcji, co pozwala na przeprowadzenie ataku typu path traversal i zapisanie dowolnych plików w systemie plików hosta.
Wersje AI Lab poniżej 5.4.2 są podatne na nieautoryzowaną injekcję obiektów PHP.
W wersjach Blocksy Companion Pro do 2.1.37 występuje podatność umożliwiająca zdalne wykonanie kodu (RCE) przez nieautoryzowanych użytkowników.

