Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w aplikacji ASUS Router na Androida pozwala złośliwej aplikacji na tym samym urządzeniu na wysłanie spreparowanego Intentu, który otwiera dowolny adres URL w kontekście aplikacji ASUS Router. Jest to spowodowane nieprawidłowym eksportem komponentów aplikacji.
Wtyczka Cookie Banner for GDPR / CCPA – WPLP Cookie Consent dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 4.3.5 włącznie. Podatność wynika z niedostatecznego escapowania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem administratora dołączanie dodatkowych zapytań SQL.
Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybut bloku 'connectorWidth'. Brak odpowiedniego oczyszczania danych wejściowych i wyjściowych umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonają się przy każdym dostępie do zainfekowanej strony.
Wtyczka weDocs dla WordPressa do wersji 2.3.0 włącznie zawiera podatność na trwałe ataki XSS przez atrybuty bloków 'sectionTitleTag' i 'articleTitleTag'. Brak odpowiedniego oczyszczania danych wejściowych i kodowania wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora lub wyższym wstrzyknięcie dowolnych skryptów, które wykonują się przy każdym odwiedzeniu zainfekowanej strony.
Wtyczka weDocs dla WordPressa w wersji do 2.3.0 zawiera brak autoryzacji w funkcji do_migration(). Atakujący z dostępem na poziomie Subskrybenta może wywołać migrację danych z BetterDocs do weDocs, tworząc i modyfikując wpisy typu 'docs', aktualizując opcje witryny oraz dezaktywując wtyczki BetterDocs i BetterDocs Pro.
Kontener Azure Blob Storage przechowujący logi urządzeń Gardyn jest publicznie dostępny bez uwierzytelniania. Osoba atakująca może odczytać dowolny plik dziennika urządzenia znajdujący się w tym kontenerze.
Panel administracyjny nie zawiera standardowych nagłówków bezpieczeństwa, co umożliwia ataki typu clickjacking oraz cross-site scripting (XSS).
W wyjątkowych okolicznościach system Fireware OS w klastrze FireCluster może używać zakodowanego na stałe klucza szyfrującego do zabezpieczania zapisanych poświadczeń dla zasobów Access Portal. Podatność dotyczy wersji Fireware OS 12.1 do 12.12 oraz 2025.1 do 2026.2.
Podatność na trwały atak XSS w module SIP Proxy systemu WatchGuard Fireware OS. Brak neutralizacji danych wejściowych umożliwia wstrzyknięcie złośliwego skryptu, który jest przechowywany na serwerze. Jest to dodatkowa, niezałatana ścieżka ataku dla CVE-2025-6947.
W module spamBlocker systemu WatchGuard Fireware OS wykryto podatność na trwałe XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Jest to dodatkowy, niezałatany wektor ataku dla CVE-2025-1071.
Podatność na trwałe XSS w module integracji Autotask w systemie Fireware OS firmy WatchGuard. Stanowi dodatkową, niezałataną ścieżkę ataku dla CVE-2025-13938.
Podatność na trwały XSS w module integracji ConnectWise w systemie WatchGuard Fireware OS. Jest to dodatkowy, niezałatany wektor ataku dla CVE-2025-13937.
W systemie WatchGuard Fireware OS w module integracji Tigerpaw Technology wykryto podatność na trwałe XSS (Stored Cross-Site Scripting). Atakujący może wstrzyknąć złośliwy kod JavaScript do strony WWW, który będzie wykonywany w przeglądarkach innych użytkowników. Jest to dodatkowy, niezałatany wektor ataku dla wcześniejszej podatności CVE-2025-13936.
Podatność w Fireware Management Web UI pozwala uwierzytelnionemu administratorowi na wywołanie stanu odmowy usługi (DoS) poprzez wysłanie spreparowanych danych do endpointu put_data, który wykonuje niebezpieczną deserializację danych wejściowych.
Podatność w Azure Synapse wynika z nieprawidłowej kontroli dostępu, co umożliwia autoryzowanemu atakującemu eskalację uprawnień w sieci. Problem dotyczy mechanizmów autoryzacji w usłudze analitycznej Microsoft Azure.
Forgejo przed wersją 15.0.3 zawiera podatność na trwałe ataki XSS, umożliwiającą uwierzytelnionym atakującym wykonanie dowolnego kodu JavaScript w przeglądarkach innych użytkowników. Atak polega na ustawieniu pełnej nazwy zawierającej ładunek HTML i uruchomieniu zadania Actions, co prowadzi do wstrzyknięcia skryptu podczas renderowania strony.
AutoBangumi przed wersją 3.2.8 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Nieuwierzytelnieni atakujący zdalni mogą badać wewnętrzne usługi sieciowe, podając dowolne wartości hosta do niezabezpieczonego punktu końcowego konfiguracji.
LobeChat do wersji 2.2.9 zawiera podatność związaną z uszkodzoną autoryzacją na poziomie obiektu, która umożliwia uwierzytelnionym atakującym dostęp i modyfikację danych agentów grup czatu innych użytkowników poprzez podanie dowolnych identyfikatorów grup. Atakujący mogą wywoływać operacje getGroupAgents, updateAgentInGroup i removeAgentsFromGroup bez predykatów ograniczających do użytkownika, co pozwala na odczyt list agentów, zmianę ich ról i kolejności oraz usuwanie agentów z grup czatu należących do innych użytkowników.
LobeChat do wersji 2.2.9 zawiera podatność związaną z niespójną kontrolą dostępu w funkcji wyszukiwania semantycznego RAG. Uwierzytelnieni atakujący mogą uzyskać dostęp do danych innych użytkowników, wykorzystując brak predykatów identyfikujących użytkownika w metodzie semanticSearch modelu chunk.
Taiga przed wersją 6.10.2 zawiera lukę braku autoryzacji, która pozwala nieuwierzytelnionym zdalnym atakującym na tworzenie domyślnych rekordów terminów w dowolnym projekcie poprzez wykorzystanie niezabezpieczonych punktów końcowych API dla historyjek użytkownika, zadań i zgłoszeń. Atakujący mogą podać dowolny identyfikator projektu, co omija sprawdzanie uprawnień i stosuje domyślne ustawienie AllowAny, aby przejąć inicjatywę przed administratorami projektu.

