Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wykryto podatność w SimplePHPscripts Funeral Script PHP 3.1, która została oceniona jako problematyczna. Dotyczy ona nieznanej funkcjonalności pliku /preview.php w komponencie URL Parameter Handler, co prowadzi do ataków typu cross site scripting.
Wykryto podatność w skrypcie FAQ SimplePHPscripts w wersji 2.3, która dotyczy nieznanej funkcjonalności pliku /preview.php w komponencie URL Parameter Handler. Manipulacja prowadzi do ataku typu cross site scripting.
W Active It Zone Active eCommerce CMS w wersji 6.5.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację argumentem 'details' w pliku /ecommerce/support_ticket. Wprowadzenie skryptu <script>alert(1)</script> może prowadzić do wykonania nieautoryzowanego kodu.
W Onest CRM 1.0 zidentyfikowano podatność, która została sklasyfikowana jako problematyczna. Dotyczy ona nieznanej części pliku /admin/project/update/2 w komponencie Project List Handler, gdzie manipulacja argumentem name z użyciem skryptu <script>alert(1)</script> prowadzi do ataku typu cross-site scripting.
W CometBFT występuje problem z deadlockiem spowodowany modyfikacją serializacji struktury `PeerState` do formatu JSON w wersjach 0.34.28 i 0.37.1. Deadlock może wystąpić podczas wywoływania funkcji MarshallJSON, co prowadzi do zablokowania węzła lub jednego z kanałów komunikacyjnych w przypadku wywołania RPC `dump_consensus_state`.
Domyślne ustawienia w otwartym serwerze Temporal przed wersją 1.20 na wszystkich platformach umożliwiają atakującemu stworzenie tokena zadania z dostępem do innej przestrzeni nazw niż ta określona w żądaniu. Wymaga to UUID przestrzeni nazw oraz informacji z historii przepływu pracy dla docelowej przestrzeni nazw.
Wykryto podatność w RocketSoft Rocket LMS 1.7, która dotyczy nieznanego kodu w pliku /contact/store komponentu formularza kontaktowego. Manipulacja argumentami name/subject/message prowadzi do ataku typu cross site scripting.
Wykryto podatność w skrypcie SimplePHPscripts GuestBook w wersji 2.2, która została sklasyfikowana jako problematyczna. Dotyczy to nieznanej części pliku preview.php komponentu URL Parameter Handler, co prowadzi do ataków typu cross-site scripting.
Wykryto podatność w SimplePHPscripts Event Script 2.1, która dotyczy nieznanej funkcjonalności pliku preview.php w komponencie URL Parameter Handler. Manipulacja prowadzi do ataku typu cross site scripting.
Wykryto podatność w SimplePHPscripts Simple Blog 3.2, która dotyczy nieznanej funkcjonalności pliku preview.php w komponencie URL Parameter Handler. Manipulacja prowadzi do ataku typu cross site scripting.
Wykryto podatność w skrypcie ogłoszeń klasyfikowanych SimplePHPscripts w wersji 1.8, która dotyczy nieznanej funkcjonalności pliku user.php w komponencie obsługi żądań HTTP POST. Manipulacja argumentem title prowadzi do ataku typu cross-site scripting.
Wykryto podatność w skrypcie ogłoszeń klasyfikowanych SimplePHPscripts w wersji 1.8, która została sklasyfikowana jako problematyczna. Manipulacja argumentem 'p' w pliku /preview.php prowadzi do ataku typu cross-site scripting.
Xpdf w wersji 4.04 może ulec zakleszczeniu podczas przetwarzania strumienia obiektów PDF, którego pole 'Length' znajduje się w innym strumieniu obiektów.
SpiceDB, system baz danych inspirowany Google Zanzibar, ma problem z negatywnymi decyzjami autoryzacyjnymi przy użyciu zapytania `LookupResources` w wersji 1.22.0. Użytkownicy mogą nieprawidłowo uzyskać dostęp do zasobów, które powinny być zablokowane.
Shescape to prosta biblioteka do ucieczki ze shella dla JavaScript. Atakujący może uzyskać dostęp tylko do odczytu zmiennych środowiskowych. Błąd został naprawiony w wersji 1.7.1.
W repozytorium GitHub admidio/admidio przed wersją 4.2.9 występuje niewłaściwa kontrola dostępu.
W systemie SourceCodester Game Result Matrix 1.0 zidentyfikowano podatność, która została sklasyfikowana jako problematyczna. Manipulacja argumentem del_name w pliku /dipam/save-delegates.php prowadzi do ataku typu cross site scripting.
W systemie opłat szkolnych SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację parametrem doj w pliku /paysystem/datatable.php. Atak może być przeprowadzony zdalnie.
Flask-AppBuilder to framework do tworzenia aplikacji, który przed wersją 4.3.2 miał podatność umożliwiającą uwierzytelnionemu atakującemu z uprawnieniami administratora wywołanie błędu bazy danych poprzez dodanie specjalnego znaku w formularzach dodawania lub edytowania użytkowników. Błąd ten mógł ujawniać cały wiersz użytkownika, w tym hasło w postaci haszowanej.
W systemie zarządzania ośrodkami wypoczynkowymi SourceCodester w wersji 1.0 zidentyfikowano podatność, która prowadzi do ataków typu cross-site scripting (XSS) poprzez manipulację argumentem 'page'. Atak może być przeprowadzony zdalnie.

