Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W bibliotece spice-vdagent wykryto podatność polegającą na przechodzeniu poza katalog (path traversal). Pozwala ona złośliwemu lub skompromitowanemu hostowi SPICE na zapisywanie dowolnych plików w dowolnej lokalizacji w systemie gościa. Problem wynika z braku odpowiedniej sanityzacji nazwy pliku przesyłanej przez host SPICE podczas transferu plików.
W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty i awarii demona spice-vdagent. Powoduje to odmowę usługi (DoS) dla maszyny wirtualnej.
Wtyczka Simple User Avatar dla WordPressa zawiera podatność na obejście autoryzacji poprzez kontrolowany przez użytkownika klucz. Umożliwia to wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu.
W bibliotece libblkid pakietu util-linux wykryto podatność polegającą na użyciu zwolnionej pamięci sterty (use-after-free). Podczas skanowania zagnieżdżonych partycji, wskaźnik do wpisu partycji nadrzędnej staje się nieaktualny po realokacji tablicy, co umożliwia atakującemu odczyt z nieprawidłowego obszaru pamięci.
W systemie CodeAstro Complaint Management System 1.0 wykryto lukę w funkcji deletereport w pliku Report.php. Umożliwia ona zdalne ominięcie autoryzacji poprzez manipulację punktem końcowym raportu.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /doctortimings.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.
Wtyczka F4 Post Tree dla WordPressa przed wersją 2.0.5 nie sprawdza uprawnień ani nie weryfikuje tokena CSRF/nonce w jednej z akcji AJAX, co pozwala uwierzytelnionym użytkownikom z dostępem na poziomie Subskrybenta i wyższym na modyfikowanie rodzica oraz kolejności menu dowolnych wpisów.
W Feehi CMS do wersji 2.1.1 wykryto podatność w pliku /api/users komponentu API. Nieznana funkcjonalność tego pliku powoduje nieprawidłową kontrolę dostępu, co umożliwia zdalne ataki. Exploit został opublikowany i może być wykorzystany.
W Documenso do wersji 2.11.0 wykryto podatność w komponencie logowania przez Google OAuth. Nieznana funkcjonalność pliku handle-oauth-callback-url.ts prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /doctorprofile.php. Atakujący może zdalnie manipulować argumentem doctorname, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /doctorchangepassword.php. Manipulacja argumentem newpassword umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W GitBucket do wersji 4.46.1 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji Git.cloneRepository.setURI. Manipulacja argumentem url w pliku RepositoryCreationService.scala umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany, a zalecane jest zastosowanie łatki.
Podatność polegająca na ujawnieniu informacji w oprogramowaniu Hitachi Storage Navigator. Luka występuje w wielu modelach macierzy Hitachi Virtual Storage Platform przed określonymi wersjami oprogramowania DKCMAIN i SVP.
W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.
W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.
W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

