Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
W systemie code-projects Client Details System 1.0 wykryto podatność na atak XSS. Podczas dodawania informacji o kliencie, złośliwy kod JavaScript może zostać wprowadzony w polu nazwy użytkownika.
Podatność typu Directory Traversal w serwerze czasu sieciowego EndRun Technologies Sonoma D12 (GPS) z oprogramowaniem F/W 6010-0076-000 Ver 4.00 umożliwia atakującym dostęp do poufnych informacji.
W urządzeniu EndRun Technologies Sonoma D12 Network Time Server (GPS) z oprogramowaniem F/W 6010-0071-000 Ver 4.00 wykryto podatność na Cross Site Scripting (XSS). Umożliwia ona atakującym kradzież wrażliwych informacji oraz potencjalnie inne nieokreślone skutki.
Podatność CVE-2025-0609 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Logo Cloud od Logo Software Inc., co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji przed 1.18.
Podatność typu 'Open Redirect' w Logo Cloud firmy Logo Software Inc. umożliwia przekierowanie użytkowników na nieznane, potencjalnie złośliwe strony. Problem ten dotyczy wersji Logo Cloud przed 2025.R6.
W podatności CVE-2025-0607 występuje niewłaściwe kodowanie lub ucieczka danych wyjściowych w oprogramowaniu Logo Cloud firmy Logo Software Inc., co umożliwia ataki phishingowe. Problem dotyczy wersji Logo Cloud przed 2.57.
Podatność CVE-2025-0606 w oprogramowaniu Logo Cloud firmy Logo Software Inc. umożliwia obejście autoryzacji poprzez kontrolowany przez użytkownika klucz, co prowadzi do wymuszonego przeglądania oraz ujawnienia zasobów. Problem dotyczy wersji Logo Cloud przed 0.67.
W jądrze Linuxa rozwiązano podatność dotyczącą niewłaściwego odmapowywania i usuwania csa_va w sterowniku amdgpu. Problem polegał na tym, że Root PD BO powinien być zarezerwowany przed odmapowaniem i usunięciem bo_va z VM, w przeciwnym razie występowały ostrzeżenia w lockdep.
W jądrze systemu Linux zidentyfikowano podatność, która prowadziła do awarii podczas operacji hotplug CPU. Problem występował w module qla2xxx, gdy czas oczekiwania na przerwanie I/O wygasał, co skutkowało nieprawidłowym wywołaniem zakończenia operacji.
W jądrze systemu Linux zidentyfikowano podatność, która została rozwiązana. Problem dotyczy wywołania funkcji ib_query_pkey() w kontekście atomowym, co prowadzi do błędu, ponieważ tracepointy nie mogą zasypiać.
W jądrze Linuxa naprawiono podatność związaną z wyciekiem pamięci w funkcji smbd_negotiate() w przypadku błędów podczas odbierania danych przez klienta SMB.
OpenSupports udostępnia punkt końcowy, który pozwala na edytowanie listy 'nadzorowanych użytkowników' dla dowolnego konta, nie weryfikując, czy aktor jest właścicielem tej listy. Pracownik na poziomie 1 może zmodyfikować relację nadzoru innej osoby, co pozwala jej na przeglądanie zgłoszeń dodanych 'nadzorowanych' użytkowników.
W nopCommerce 4.40.3 odkryto podatność na atak XSS w polu nazwy produktu na stronie /Admin/Product/Edit/[id]. Za każdym razem, gdy użytkownik przegląda produkt w sklepie, ładunek XSS jest wykonywany.
Podatność związana z użyciem twardo zakodowanych poświadczeń w oprogramowaniu TigerWings ERP firmy Logo Software Inc. umożliwia odczyt wrażliwych stałych w obrębie pliku wykonywalnego. Problem dotyczy wersji TigerWings ERP od 01.01.00 do przed 3.03.00.
Podatność CVE-2025-0876 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie IT's Workif, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji systemu do 20251003.
Podatność Server-Side Request Forgery (SSRF) w VitaraCharts 5.3.5 w pliku fileLoader.jsp umożliwia atakującemu wysyłanie żądań z serwera do wewnętrznych zasobów sieciowych.
W FortiOS i FortiProxy występuje podatność na obejście uwierzytelnienia, która może pozwolić uwierzytelnionemu atakującemu na podniesienie swoich uprawnień poprzez wywołanie złośliwej akcji Webhook w komponencie Automation Stitch.
W podatności CVE-2025-0642 występuje wykorzystanie twardo zakodowanych poświadczeń oraz możliwość obejścia autoryzacji za pomocą klucza kontrolowanego przez użytkownika w oprogramowaniu PosCube. Problem ten umożliwia przeprowadzenie wykopów oraz obejście procesu uwierzytelniania.
W bibliotece validator.js do wersji 13.15.15 wykryto podatność polegającą na obejściu walidacji URL. Funkcja isURL() używa '://' jako separatora protokołu, podczas gdy przeglądarki używają ':'. Ta różnica w parsowaniu umożliwia atakującym tworzenie adresów URL, które omijają walidację protokołu i domeny, prowadząc do ataków XSS i Open Redirect.
W aplikacji Payeer na Androida w wersji 2.5.0 wykryto podatność polegającą na nieprawidłowej kontroli dostępu w procesie zmiany kodu PIN. Lokalny atakujący z dostępem root do urządzenia może dynamicznie manipulować aplikacją, aby ominąć weryfikację bieżącego PIN-u i bezpośrednio zmienić kod PIN. Umożliwia to nieautoryzowanym użytkownikom zmianę PIN-u bez znajomości oryginalnego/aktualnego kodu.

