Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Komponent Calendar Planner w Joomla! w wersji 1.0.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń SQL przez parametr category_id. Atakujący mogą wysyłać żądania GET do widoku wydarzeń z złośliwym kodem SQL w parametrze category_id, aby wydobyć wrażliwe informacje z bazy danych.
Joomla SP Movie Database w wersji 1.3 zawiera podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze searchword. Atakujący mogą wysyłać żądania GET do widoku searchresults z przygotowanymi ładunkami SQL w parametrze searchword, aby wydobyć wrażliwe informacje z bazy danych.
Komponent Joomla! Flip Wall w wersji 8.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wallid.
Komponent Sponsor Wall w Joomla! w wersji 8.0 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr wallid. Atakujący mogą wysyłać żądania GET do index.php z parametrami zawierającymi ładunki wstrzyknięcia SQL.
Komponent Joomla! FocalPoint Pro/Free w wersji 1.2.3 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id.
Komponent Ajax Quiz w wersji 1.8 dla Joomla! zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr cid.
Komponent Bargain Product VM3 w Joomla! w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr product_id.
Komponent Joomla! Price Alert w wersji 3.0.2 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze product_id. Atakujący mogą wysyłać żądania do widoku subscribeajax z odpowiednio skonstruowanymi ładunkami SQL w parametrze product_id, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane konfiguracyjne.
Joomla OSDownloads w wersji 1.7.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do index.php z opcją=com_osdownloads&view=item&id=[SQL], aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane konfiguracyjne.
Komponent Joomla! RPC Responsive Portfolio w wersji 1.6.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do index.php z opcją=com_pofos&view=pofo&id=[SQL], aby wydobyć wrażliwe informacje z bazy danych.
Komponent Joomla! Quiz Deluxe w wersji 3.7.4 zawiera podatność na wstrzyknięcie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez zadanie ajaxaction.flag_question. Atakujący mogą wstrzykiwać złośliwy kod SQL za pomocą parametrów stu_quiz_id lub flag_quest, co umożliwia manipulację zapytaniami do bazy danych oraz wyciąganie wrażliwych informacji.
Joomla Survey Force Deluxe w wersji 3.2.4 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr invite.
Komponent Joomla! JB Visa w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze visatype. Atakujący mogą wysyłać żądania GET do index.php z parametrami option=com_bookpro i view=popup, wstrzykując polecenia SQL w parametrze visatype, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i zawartość tabeli.
Komponent Joomla! User Bench w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze userid. Atakujący mogą wysyłać żądania GET do index.php z parametrami umożliwiającymi wstrzyknięcie ładunków SQL.
Komponent My Projects 2.0 w Joomla! zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr VerAyari. Atakujący mogą skonstruować żądania do punktu końcowego komponentu z ładunkami wstrzykującymi SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym dane uwierzytelniające i dane systemowe.
Joomla NextGen Editor w wersji 2.1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez parametr plname. Atakujący mogą wysyłać żądania GET do index.php z opcją com_nge&view=config i wstrzykiwać złośliwy kod SQL w parametrze plname, aby wydobyć wrażliwe informacje z bazy danych.
W jądrze Linux stwierdzono podatność w mechanizmie reuseport dla gniazd UDP. cBPF program dołączony do grupy reuseport był zwalniany natychmiast po odłączeniu, bez oczekiwania na zakończenie trwających operacji odczytu RCU, co prowadziło do odczytu poza zakresem pamięci (use-after-free).
W jądrze Linuxa stwierdzono podatność w sterowniku ip6_vti, gdzie urządzenie fallback (ip6_vti0) nie ma ustawionej flagi netns_immutable. Inne podobne sterowniki tuneli (np. ip6_tunnel, sit) poprawnie ustawiają tę flagę, aby zapobiec przenoszeniu urządzenia do innej przestrzeni nazw sieciowych.
W jądrze Linuxa znaleziono podatność w mechanizmie ponownej rejestracji regionów pamięci (MR) w sterownikach RDMA. Podczas zmiany uprawnień dostępu z tylko do odczytu (RO) na odczyt i zapis (RW) nie była weryfikowana spójność mapowania pamięci użytkownika (umem), co mogło prowadzić do nieprawidłowego przypinania stron.
AVAST Antivirus w wersji 25.11 zawiera podatność na niecytowaną ścieżkę usługi w serwisie SecureLine, co pozwala lokalnym użytkownikom bez uprawnień na wykonanie kodu z podwyższonymi uprawnieniami SYSTEM.

