Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wersja 3.19.0 Bludit zawiera lukę w komponencie api/plugin.php, która umożliwia atakującym wykonanie ataku typu directory traversal poprzez dostarczenie odpowiednio skonstruowanego żądania.
W wersjach Discuz! X5.0 od 20260320 do 20260501 występuje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym zdalnym uzyskać dostęp do funkcji tworzenia kopii zapasowych i przywracania bazy danych. Wykorzystując wspólny klucz kryptograficzny, atakujący mogą wstrzykiwać złośliwe ładunki przez parametr nazwy użytkownika podczas logowania.
Metacat to oprogramowanie do przechowywania danych, które zawiera podatność na nieautoryzowaną iniekcję SQL w punkcie końcowym /harvesterRegistration w wersjach 2.0.0 i wyższych. Wykorzystanie tej podatności pozwala na pełny dostęp do odczytu, zapisu i wykonywania w kontekście bazy danych Metacat.
W OCaml-tar przed wersją 3.4.0, stworzony archiwum z segmentami ścieżki ../ w swojej nazwie pozwala na ucieczkę z bieżącego katalogu roboczego. Mimo że tar(1) odrzuca takie ekstrakcje, ocaml-tar dekompresuje je mimo to.
W OCaml-TLS przed wersją 2.1.0 implementacja klienta nie przeprowadza wystarczających kontroli certyfikatu dostarczonego przez serwer, co umożliwia podszywanie się przy użyciu certyfikatów, które nie są przeznaczone do uwierzytelniania serwera.
W wersji 0.54.0 oprogramowania Vector firmy Datadog, Inc. odkryto podatność na wstrzykiwanie SQL w parametrze set_uri_query funkcji KeyPartitioner::partition. Umożliwia to atakującym dostęp do wrażliwych informacji w bazie danych za pomocą spreparowanych zapytań SQL.
Problem w SNMP4J-Agent w wersji 3.8.3 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent snmp4jCfgStoragePath.
RuoYi w wersji 4.8.2 jest podatny na atak typu SQL Injection poprzez punkt końcowy /tool/gen/createTable. Problem dotyczy modułu generowania kodu i może umożliwić uwierzytelnionemu atakującemu z uprawnieniami administratora dostęp do wrażliwych informacji w bazie danych.
Bludit CMS przed wersją 3.18.4 umożliwia zdalne wykonanie kodu (RCE) poprzez wtyczkę API. Punkt końcowy POST /api/files/{key} w pliku bl-plugins/api/plugin.php nie przeprowadza kontroli autoryzacji i nie weryfikuje rozszerzeń plików.
Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_ims_on_with_apn za pośrednictwem parametru ims_apn.
Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_dial_call poprzez parametr dialNumber.
Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_radio_on_with_ia_apn poprzez parametr ia.
Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_set_rat_mode za pośrednictwem parametru ratMode.
Tenda 5G03 w wersji 5.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_set_volume poprzez parametr volume.
Tenda 5G03 w wersji V05.03.02.04 (wersja 1.0) jest podatna na wstrzykiwanie poleceń w funkcji action_unlock_sim poprzez parametr pin.
Wersja ThingsBoard v4.3.0.1 jest podatna na obejście uwierzytelniania podczas wymiany kodu autoryzacyjnego OAuth. Aplikacja niewłaściwie ufa danym tożsamości dostarczonym przez użytkownika w parametrze użytkownika na końcówce /login/oauth2/code/.
W wersji 4.0.409 biblioteki remotion-dev remotion odkryto podatność umożliwiającą zapis dowolnych plików.
Wersja 4.0.409 biblioteki remotion-dev remotion zawiera podatność umożliwiającą zdalne wykonanie kodu (RCE).
W systemie Fortra Core Privileged Access Manager (BoKS) występuje podatność na wstrzykiwanie poleceń systemowych w usłudze boks_autoregisterd. Zdalny atakujący z dostępem do sieci może spowodować wykonanie poleceń z uprawnieniami tej usługi podczas procesu automatycznej rejestracji.
W podatności CVE-2026-52704 występuje niewłaściwa kontrola generowania kodu w WooCommerce PDF Invoice Builder, co pozwala na zdalne wstrzykiwanie kodu. Problem ten dotyczy wersji od n/a do 2.0.8.

