Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13512
Średnie

W Databend do wersji 1.2.881 na HTTP wykryto podatność w komponencie Tenant Handler. Funkcja ClientSessionManager::state_key w pliku client_session_manager.rs umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13511
Niskie

W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13510
Niskie

W bibliotece SimStudioAI sim do wersji 0.6.92 wykryto podatność w komponencie obsługi ochrony hasłem (apps/sim/lib/core/security/deployment.ts). Manipulacja prowadzi do użycia słabego skrótu (hasha), co umożliwia atak zdalny o wysokiej złożoności. Exploit został opublikowany, a naprawa oczekuje na akceptację.

CVE-2026-13509
Średnie

W RAGapp do wersji 0.1.5 wykryto podatność w funkcji FileHandler.upload_file/FileHandler.remove_file w pliku src/ragapp/backend/controllers/files.py. Luka umożliwia zdalne wykonanie ataku typu path traversal.

CVE-2026-13508
Średnie

W khoj-ai khoj do wersji 2.0.0-beta.28 wykryto podatność w funkcji Conversation Sharing Handler w pliku src/khoj/routers/api_chat.py. Manipulacja argumentem conversation.agent prowadzi do nieprawidłowej autoryzacji, co umożliwia zdalne wykorzystanie bez uwierzytelnienia.

CVE-2026-13507
Średnie

W komponencie Local VectorDB Primary-key Label Handler biblioteki OpenViking (do wersji 0.3.21) wykryto podatność polegającą na niewystarczającej weryfikacji autentyczności danych podczas przetwarzania argumentu ID w funkcji str_to_uint64. Atak może być przeprowadzony zdalnie, ale jest bardzo złożony i trudny do wykorzystania.

CVE-2026-49048
Krytyczne

Rozszerzenie JoomCCK dla Joomla udostępnia zadanie kontrolera front-end, które tworzy dwa zapytania SQL poprzez bezpośrednie konkatenowanie parametru żądania dostarczonego przez użytkownika do ciągu zapytania bez odpowiedniego escapowania lub parametryzacji.

CVE-2026-13504
Niskie

W systemie Project Management System 1.0 znaleziono podatność na atak XSS w pliku /mail.php (strona komponowania wiadomości). Atak może być przeprowadzony zdalnie, a szczegóły exploitów są publicznie dostępne.

CVE-2026-13503
Średnie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność na path traversal w funkcji getImportedVocabFile w pliku TokenVocabParser.java. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13502
Średnie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność polegającą na błędzie typu time-of-check time-of-use (TOCTOU) w funkcji ObjectInputStream.readObject w pliku GrammarDependencies.java komponentu Maven Plugin. Atak wymaga lokalnego dostępu i jest trudny do przeprowadzenia, ale exploit został już opublikowany.

CVE-2026-13501
Średnie

Wykryto podatność w ANTLR4 do wersji 4.13.2, dotyczącą funkcji GoTarget w pliku GoTarget.java. Lokalny atakujący może wstrzyknąć polecenia poprzez komponent gofmt, co prowadzi do wykonania nieautoryzowanych operacji.

CVE-2026-13500
Wysokie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność w funkcji obsługi bloków akcji gramatyki w pliku OutputFile.java. Manipulacja danymi wejściowymi może prowadzić do zdalnego wstrzyknięcia kodu. Publicznie dostępny exploit umożliwia ataki.

CVE-2026-13499
Średnie

W systemie zarządzania restauracją yashpokharna2555 odkryto podatność na atak XSS w pliku login_register.php. Manipulacja parametrem Username w komponencie rejestracji umożliwia zdalne wykonanie skryptu. Exploit został opublikowany, a projekt nie odpowiedział na zgłoszenie.

CVE-2026-13498
Wysokie

Podatność SQL Injection w systemie zarządzania restauracją yashpokharna2555. Atakujący może zdalnie manipulować argumentem 'email' w pliku /forgotpassword.php, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-13497
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność SQL Injection w pliku /appointment.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument editid, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13496
Średnie

W systemie Hospital Management System 1.0 znaleziono podatność SQL Injection w pliku /ajaxmedicine.php. Atakujący może zdalnie manipulować argumentem medicineid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.

CVE-2026-13495
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /adminprofile.php. Atakujący może zdalnie manipulować argumentem loginid, co prowadzi do wstrzyknięcia SQL.

CVE-2026-13493
Niskie

W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.

CVE-2026-13491
Niskie

W komponencie MQTT Goodbye Handler w pliku main/protocols/mqtt_protocol.cc projektu xiaozhi-esp32 do wersji 2.2.6 wykryto podatność na atak DoS. Manipulacja argumentem session_id w funkcji Application::GetInstance prowadzi do odmowy usługi. Atak jest zdalny, ale wymaga wysokiego poziomu skomplikowania.

CVE-2026-13490
Niskie

W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

PoprzedniaStrona 108 z 4470Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS