Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Nieprawidłowe neutralizowanie sekwencji ucieczki, meta lub kontrolnych w Microsoft Power Apps umożliwia autoryzowanemu atakującemu przeprowadzenie spoofingu w sieci.
W wersji 0.25.6 biblioteki transloadit uppy odkryto problem związany z CWE-843: Dostęp do zasobu przy użyciu niekompatybilnego typu.
W podatności typu przejście ścieżki ('path traversal') w Fortinet FortiSandbox w wersjach 5.0.0 do 5.0.5 oraz 4.4.0 do 4.4.8, atakujący może uzyskać podwyższone uprawnienia poprzez specjalnie przygotowane żądania HTTP.
W Fortinet FortiSandbox w wersjach od 4.4.0 do 4.4.8 występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu lub poleceń.
W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.
W systemie zarządzania szkołą manikandan580 w wersji 1.0 występuje podatność na ślepe wstrzykiwanie SQL oparte na czasie w pliku /studentms/admin/between-date-reprtsdetails.php, wykorzystująca parametr POST 'fromdate'.
W systemie zarządzania szkołą (wersja 1.0) autorstwa manikandan580 występuje podatność na wstrzykiwanie SQL. Atakujący, zarówno niezautoryzowany, jak i autoryzowany, może wysłać odpowiednio przygotowane żądanie HTTP do podatnego punktu końcowego, aby manipulować logiką zapytań SQL i wydobywać wrażliwe informacje z bazy danych.
W systemie zarządzania sklepem spożywczym anirudhkannan w wersji 1.0 występuje niewłaściwe przetwarzanie danych wejściowych w pliku /Grocery/search_products_itname.php, co umożliwia atak typu SQL injection poprzez parametr POST sitem_name.
W OpenAI Codex CLI w wersji 0.23.0 i wcześniejszych wykryto podatność umożliwiającą wykonanie kodu poprzez złośliwe pliki konfiguracyjne MCP. Atak następuje, gdy użytkownik uruchomi polecenie codex w spreparowanym repozytorium, a Codex automatycznie ładuje lokalne pliki .env i .codex/config.toml bez potwierdzenia użytkownika.
W Hostbill w wersjach 2025-11-24 i 2025-12-01 występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu oraz eskalację uprawnień poprzez pole rejestracji CSV.
W Apache APISIX występuje podatność na wstrzykiwanie nagłówków, która może być wykorzystana przez atakującego dzięki określonej konfiguracji wtyczki forward-auth. Problem dotyczy wersji od 2.12.0 do 3.15.0.
PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.133 występuje podatność na wstrzykiwanie identyfikatorów SQL w SQLiteConversationStore, gdzie wartość konfiguracyjna table_prefix jest bezpośrednio łączona z zapytaniami SQL bez walidacji lub sanitizacji.
PraisonAI to system zespołów wieloagentowych. W wersjach 4.5.139 i poniżej, przepływy pracy GitHub Actions są podatne na atak ArtiPACKED, który może prowadzić do wycieku poświadczeń z powodu użycia actions/checkout bez ustawienia persist-credentials: false.
PraisonAI to system zespołów wieloagentowych. W wersjach poniżej 4.5.139 PraisonAI oraz 1.5.140 praisonaiagents, mostek przeglądarki jest podatny na przejęcie sesji zdalnych bez uwierzytelnienia z powodu braku odpowiedniej autoryzacji oraz możliwości obejścia sprawdzania pochodzenia na końcówce WebSocket /ws.
PraisonAI to system wieloagentowy, który w wersjach poniżej 4.5.139 oraz 1.5.140 jest podatny na wykonanie dowolnych poleceń i kodu poprzez nieufne pliki YAML. Silnik workflow nie weryfikuje ani nie izoluje plików YAML, co pozwala na wykonanie poleceń powłoki, skryptów inline w Pythonie oraz dowolnych skryptów Pythona.
Krytyczna podatność w Talend JobServer i Talend Runtime umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez port monitorowania JMX. Wektor ataku to port monitorowania JMX Talend JobServer.
Wtyczka LearnPress dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji `delete_question_answer()`. Problem dotyczy wszystkich wersji do i włącznie z 4.3.2.8, gdzie wtyczka udostępnia nonce `wp_rest` w publicznym HTML, co umożliwia atakującym usunięcie odpowiedzi na quizy.
W wyniku niewystarczających kontroli autoryzacji w SAP Business Planning and Consolidation oraz SAP Business Warehouse, uwierzytelniony użytkownik może wykonać spreparowane zapytania SQL, aby odczytać, zmodyfikować i usunąć dane z bazy danych. To prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.
Podatność związana z niewłaściwą kontrolą dostępu może umożliwić złośliwemu użytkownikowi z dostępem do sieci UniFi Play włączenie SSH i dokonanie nieautoryzowanych zmian w systemie.
Seria podatności związanych z niewłaściwą walidacją danych wejściowych może umożliwić atak typu Command Injection przez złośliwego użytkownika mającego dostęp do sieci UniFi Play.

