Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie Bug Finder MineStack 1.0 odkryto podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 'message' w pliku /user/ticket/create komponentu Ticket Handler.
Wykryto podatność w Bug Finder EX-RATE 1.0, która została oceniona jako problematyczna. Dotyczy ona nieznanej funkcjonalności pliku /user/ticket/create w komponencie Ticket Handler, gdzie manipulacja argumentem message prowadzi do ataku typu cross site scripting.
Wykryto podatność w Bug Finder Montage 1.0, która dotyczy nieznanej funkcjonalności pliku /user/ticket/create w komponencie Ticket Handler. Manipulacja argumentem message prowadzi do ataku typu cross site scripting.
Wykryto podatność w Bug Finder Wedding Wonders 1.0, klasyfikowaną jako problematyczną. Dotyczy nieznanej funkcji pliku /user/ticket/create w komponencie Ticket Handler, gdzie manipulacja argumentem message prowadzi do ataku typu cross site scripting.
Wykryto podatność w Bug Finder Finounce 1.0, która dotyczy nieznanego przetwarzania pliku /user/ticket/create w komponencie Ticket Handler. Manipulacja argumentem message prowadzi do ataku typu cross site scripting.
Wykryto podatność w Bug Finder SASS BILLER 1.0, która została oceniona jako problematyczna. Problem dotyczy nieznanego przetwarzania pliku /company/store, co prowadzi do ataków typu cross-site scripting.
Wykryto podatność w Bug Finder ICOGenie 1.0, która dotyczy nieznanego kodu w pliku /user/ticket/create komponentu Support Ticket Handler. Manipulacja argumentem message prowadzi do ataku typu cross site scripting.
Wykryto podatność w platformie Bug Finder Listplace Directory Listing w wersji 3.0, która została sklasyfikowana jako problematyczna. Dotyczy to nieznanej części pliku /listplace/user/coverPhotoUpdate komponentu Photo Handler, gdzie manipulacja argumentem user_cover_photo prowadzi do ataku typu cross site scripting.
Wykryto podatność w platformie Bug Finder Listplace Directory Listing 3.0, która dotyczy nieznanej funkcjonalności pliku /listplace/user/ticket/create w komponencie obsługi żądań HTTP POST. Manipulacja argumentem message prowadzi do ataku typu cross-site scripting.
W wersjach PHP 8.0.* przed 8.0.29, 8.1.* przed 8.1.20 oraz 8.2.* przed 8.2.7, podczas korzystania z uwierzytelniania SOAP HTTP Digest, generator wartości losowych nie był sprawdzany pod kątem błędów i używał węższego zakresu wartości niż powinien. W przypadku awarii generatora losowego, może to prowadzić do ujawnienia 31 bitów niezainicjowanej pamięci z klienta do serwera.
Brak sprawdzenia alokacji w serwerze SFTP podczas przetwarzania żądań odczytu może prowadzić do dereferencji NULL w warunkach niskiej pamięci. Złośliwy klient może zażądać odczytów SFTP do 4 GB, co może spowodować alokację buforów do 4 GB bez sprawdzenia błędów.
Wykryto podatność w y_project RuoYi do wersji 4.7.7, która dotyczy funkcji uploadFilesPath komponentu File Upload. Manipulacja argumentem originalFilenames prowadzi do ataków typu cross site scripting.
W systemie monitorowania i ostrzegania przed powodziami w Chengdu 2.0 zidentyfikowano podatność, która dotyczy nieznanej części pliku /Service/ImageStationDataService.asmx. Manipulacja tą częścią prowadzi do niewystarczająco losowych wartości.
W EasyAdmin8 w wersji 2.0.2.2 zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie plików. Problem dotyczy nieznanej funkcji w pliku /admin/index/index.html#/admin/mall.goods/index.html modułu przesyłania plików.
W platformie inwestycyjnej ChainCity Real Estate w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem 'subject' w pliku /chaincity/user/ticket/create. Atak można przeprowadzić zdalnie.
W Boom CMS w wersji 8.0.7 zidentyfikowano podatność, która dotyczy funkcji add komponentu assets-manager. Manipulacja argumentami title/description prowadzi do ataków typu cross site scripting.
W PaulPrinting CMS 2018 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 's' w pliku /account/delivery komponentu Search. Atak można przeprowadzić zdalnie.
W ActiveITzone Active Super Shop CMS 2.5 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami name, phone oraz address na stronie zarządzania szczegółami. Atak może być przeprowadzony zdalnie.
Wykryto podatność w Codecanyon Tiva Events Calender 1.4, która umożliwia atak typu cross site scripting poprzez manipulację argumentem nazwy. Atak może być przeprowadzony zdalnie.
W PaulPrinting CMS 2018 odkryto podatność, która została oceniona jako problematyczna. Manipulacja argumentami firstname/lastname/address/city/state prowadzi do ataków typu cross-site scripting.

