Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13504
Niskie

W systemie Project Management System 1.0 znaleziono podatność na atak XSS w pliku /mail.php (strona komponowania wiadomości). Atak może być przeprowadzony zdalnie, a szczegóły exploitów są publicznie dostępne.

CVE-2026-13503
Średnie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność na path traversal w funkcji getImportedVocabFile w pliku TokenVocabParser.java. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13502
Średnie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność polegającą na błędzie typu time-of-check time-of-use (TOCTOU) w funkcji ObjectInputStream.readObject w pliku GrammarDependencies.java komponentu Maven Plugin. Atak wymaga lokalnego dostępu i jest trudny do przeprowadzenia, ale exploit został już opublikowany.

CVE-2026-13501
Średnie

Wykryto podatność w ANTLR4 do wersji 4.13.2, dotyczącą funkcji GoTarget w pliku GoTarget.java. Lokalny atakujący może wstrzyknąć polecenia poprzez komponent gofmt, co prowadzi do wykonania nieautoryzowanych operacji.

CVE-2026-13500
Wysokie

W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność w funkcji obsługi bloków akcji gramatyki w pliku OutputFile.java. Manipulacja danymi wejściowymi może prowadzić do zdalnego wstrzyknięcia kodu. Publicznie dostępny exploit umożliwia ataki.

CVE-2026-13499
Średnie

W systemie zarządzania restauracją yashpokharna2555 odkryto podatność na atak XSS w pliku login_register.php. Manipulacja parametrem Username w komponencie rejestracji umożliwia zdalne wykonanie skryptu. Exploit został opublikowany, a projekt nie odpowiedział na zgłoszenie.

CVE-2026-13498
Wysokie

Podatność SQL Injection w systemie zarządzania restauracją yashpokharna2555. Atakujący może zdalnie manipulować argumentem 'email' w pliku /forgotpassword.php, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-13497
Średnie

W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność SQL Injection w pliku /appointment.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument editid, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13496
Średnie

W systemie Hospital Management System 1.0 znaleziono podatność SQL Injection w pliku /ajaxmedicine.php. Atakujący może zdalnie manipulować argumentem medicineid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.

CVE-2026-13495
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /adminprofile.php. Atakujący może zdalnie manipulować argumentem loginid, co prowadzi do wstrzyknięcia SQL.

CVE-2026-13493
Niskie

W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.

CVE-2026-13491
Niskie

W komponencie MQTT Goodbye Handler w pliku main/protocols/mqtt_protocol.cc projektu xiaozhi-esp32 do wersji 2.2.6 wykryto podatność na atak DoS. Manipulacja argumentem session_id w funkcji Application::GetInstance prowadzi do odmowy usługi. Atak jest zdalny, ale wymaga wysokiego poziomu skomplikowania.

CVE-2026-13490
Niskie

W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13489
Niskie

W komponencie MCP Response Handler w oprogramowaniu 78 xiaozhi-esp32 do wersji 2.2.6 wykryto słabość polegającą na nieprawidłowej synchronizacji w funkcji ParseMessage pliku main/mcp_server.cc. Atak zdalny jest możliwy, ale jego złożoność jest wysoka, a wykorzystanie uznawane za trudne.

CVE-2026-13488
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0/7.php wykryto podatność na iniekcję SQL w pliku /preview7.php. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.

CVE-2026-13487
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na iniekcję SQL w pliku /archive.php poprzez manipulację argumentem sy. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13486
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 w pliku /preview6.php stwierdzono podatność na wstrzykiwanie SQL. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został publicznie ujawniony.

CVE-2026-13485
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /preview.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13484
Średnie

W MLflow do wersji 4666cffc7912ea606d592fc38d6a75e2935f65e7 wykryto brak autoryzacji w API CRUD dla schematów etykiet w zakresie eksperymentu. Luka umożliwia zdalne manipulowanie danymi bez odpowiedniego uwierzytelnienia, choć jej wykorzystanie jest trudne ze względu na wysoką złożoność ataku.

CVE-2026-13483
Niskie

W aplikacji arc53 DocsGPT do wersji 0.18.0 wykryto podatność w funkcji encrypt_credentials w pliku application/security/encryption.py. Polega ona na niewystarczającej weryfikacji autentyczności danych, co może umożliwić zdalny atak. Mimo wysokiego stopnia trudności exploita, został on opublikowany i może być wykorzystany.

PoprzedniaStrona 111 z 4494Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS