Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie SourceCodester Online Discussion Forum Site w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 'content' w pliku admin\posts\manage_post.php.
Podatność w narzędziu CLI notation umożliwia atakującemu, który przejął kontrolę nad rejestrem, dodanie dużej liczby podpisów do artefaktu, co może prowadzić do odmowy usługi na maszynie, gdy użytkownik uruchomi polecenie 'notation inspect'.
W systemie Dahua Smart Parking Management do wersji 20230528 zidentyfikowano podatność, która prowadzi do oszustwa serwera poprzez manipulację argumentem fileUrl. Wykorzystanie tej podatności może prowadzić do nieautoryzowanego dostępu do zasobów serwera.
Wykryto podatność w X-WRT luci do wersji 22.10_b202303061504, która dotyczy funkcji run_action w pliku modules/luci-base/ucode/dispatcher.uc. Manipulacja argumentem request_path prowadzi do ataku typu cross site scripting.
W Xpdf występuje podatność związana z nadmiernie dużym rozmiarem strony PDF, co może prowadzić do błędu dzielenia przez zero w kodzie ekstrakcji tekstu. Problem ten został wykryty podczas testów fuzzingowych i jest mało prawdopodobny w normalnych plikach PDF.
W systemie zarządzania szkołą Agro-School Management System 1.0 odkryto podatność, która dotyczy funkcji doAddQuestion w pliku btn_functions.php. Manipulacja argumentem Question prowadzi do ataku typu cross-site scripting (XSS).
W systemie 07FLY CRM w wersjach do 1.2.0 zidentyfikowano podatność, która prowadzi do ataków typu cross site scripting (XSS) poprzez manipulację kodem komponentu User Profile Handler. Atak może być przeprowadzony zdalnie.
W wersjach JetBrains Ktor przed 2.3.1 nagłówki zawierające dane uwierzytelniające mogły być dodawane do wiadomości wyjątku.
W systemie biurowym Guangdong Pythagorean OA do wersji 4.50.31 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności komponentu Schedule Handler. Manipulacja argumentem 'description' prowadzi do ataku typu cross site scripting.
W systemie SourceCodester Lost and Found Information System 1.0 zidentyfikowano podatność, która umożliwia podstawowe ataki typu cross site scripting poprzez manipulację argumentami Imię/Drugie Imię/Nazwisko na stronie zarządzania użytkownikami.
Wykryto podatność w yiwent Vip Video Analysis 1.0, która dotyczy nieznanej funkcjonalności pliku admin/admincore.php. Manipulacja prowadzi do ataku typu cross site scripting (XSS), który może być przeprowadzony zdalnie.
Wykryto podatność w BeipyVideoResolution do wersji 2.6, która umożliwia atak typu cross site scripting poprzez manipulację w nieznanej funkcji pliku admin/admincore.php.
W systemie zarządzania wyszukiwarką lokalnych usług SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację parametrem POST w pliku /admin/ajax.php. Wprowadzenie złośliwego skryptu, takiego jak <script>alert(document.cookie)</script>, może prowadzić do nieautoryzowanego dostępu do danych użytkownika.
Aplikacja Kalendarz dla Nextcloud ujawnia niektóre wewnętrzne ścieżki strony, gdy serwer SMTP jest niedostępny. Zaleca się aktualizację aplikacji Kalendarz do wersji 3.5.5 lub 4.2.3.
Nextcloud Mail to aplikacja pocztowa w Nextcloud, która jest podatna na atak typu blind SSRF. Atak ten umożliwia wysyłanie żądań GET do usług działających na tym samym serwerze WWW.
Craft to system zarządzania treścią (CMS) do tworzenia niestandardowych doświadczeń cyfrowych w sieci. Platforma nie filtruje danych wejściowych i nie koduje danych wyjściowych w komunikacie o błędzie walidacji Quick Post, co może prowadzić do ataku XSS.
Moduł obiektów w Liferay Portal w wersjach od 7.4.3.4 do 7.4.3.60 oraz Liferay DXP 7.4 przed aktualizacją 61 nie segmentuje definicji obiektów według wirtualnej instancji w wyszukiwaniach. Umożliwia to zdalnym, uwierzytelnionym użytkownikom w jednej wirtualnej instancji przeglądanie definicji obiektów z drugiej wirtualnej instancji.
Moduł Object w Liferay Portal w wersjach 7.4.3.4 do 7.4.3.48 oraz Liferay DXP 7.4 przed aktualizacją 49 nie izoluje poprawnie obiektów w różnych instancjach wirtualnych. Umożliwia to zdalnym uwierzytelnionym użytkownikom w jednej instancji wirtualnej przeglądanie obiektów w innej instancji wirtualnej za pośrednictwem strony administracyjnej zakresu OAuth 2.
Wtyczka Jenkins SAML Single Sign On (SSO) w wersji 2.1.0 i wcześniejszych bezwarunkowo wyłącza walidację certyfikatów SSL/TLS dla połączeń z miniOrange lub skonfigurowanym IdP w celu pobrania metadanych SAML.
Podatność w produkcie MySQL Shell firmy Oracle MySQL (komponent: Shell: General/Core Client) dotyczy wersji 8.0.28 i wcześniejszych. Umożliwia nieautoryzowanemu atakującemu, który ma dostęp do infrastruktury, w której działa MySQL Shell, kompromitację tego narzędzia, wymagając jednocześnie interakcji ze strony innej osoby.

