Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W systemie Project Management System 1.0 znaleziono podatność na atak XSS w pliku /mail.php (strona komponowania wiadomości). Atak może być przeprowadzony zdalnie, a szczegóły exploitów są publicznie dostępne.
W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność na path traversal w funkcji getImportedVocabFile w pliku TokenVocabParser.java. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność polegającą na błędzie typu time-of-check time-of-use (TOCTOU) w funkcji ObjectInputStream.readObject w pliku GrammarDependencies.java komponentu Maven Plugin. Atak wymaga lokalnego dostępu i jest trudny do przeprowadzenia, ale exploit został już opublikowany.
Wykryto podatność w ANTLR4 do wersji 4.13.2, dotyczącą funkcji GoTarget w pliku GoTarget.java. Lokalny atakujący może wstrzyknąć polecenia poprzez komponent gofmt, co prowadzi do wykonania nieautoryzowanych operacji.
W bibliotece ANTLR4 do wersji 4.13.2 wykryto podatność w funkcji obsługi bloków akcji gramatyki w pliku OutputFile.java. Manipulacja danymi wejściowymi może prowadzić do zdalnego wstrzyknięcia kodu. Publicznie dostępny exploit umożliwia ataki.
W systemie zarządzania restauracją yashpokharna2555 odkryto podatność na atak XSS w pliku login_register.php. Manipulacja parametrem Username w komponencie rejestracji umożliwia zdalne wykonanie skryptu. Exploit został opublikowany, a projekt nie odpowiedział na zgłoszenie.
Podatność SQL Injection w systemie zarządzania restauracją yashpokharna2555. Atakujący może zdalnie manipulować argumentem 'email' w pliku /forgotpassword.php, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
W systemie zarządzania szpitalem itsourcecode w wersji 1.0 wykryto podatność SQL Injection w pliku /appointment.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument editid, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.
W systemie Hospital Management System 1.0 znaleziono podatność SQL Injection w pliku /ajaxmedicine.php. Atakujący może zdalnie manipulować argumentem medicineid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /adminprofile.php. Atakujący może zdalnie manipulować argumentem loginid, co prowadzi do wstrzyknięcia SQL.
W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.
W komponencie MQTT Goodbye Handler w pliku main/protocols/mqtt_protocol.cc projektu xiaozhi-esp32 do wersji 2.2.6 wykryto podatność na atak DoS. Manipulacja argumentem session_id w funkcji Application::GetInstance prowadzi do odmowy usługi. Atak jest zdalny, ale wymaga wysokiego poziomu skomplikowania.
W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
W komponencie MCP Response Handler w oprogramowaniu 78 xiaozhi-esp32 do wersji 2.2.6 wykryto słabość polegającą na nieprawidłowej synchronizacji w funkcji ParseMessage pliku main/mcp_server.cc. Atak zdalny jest możliwy, ale jego złożoność jest wysoka, a wykorzystanie uznawane za trudne.
W systemie SourceCodester Class and Exam Timetabling System 1.0/7.php wykryto podatność na iniekcję SQL w pliku /preview7.php. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na iniekcję SQL w pliku /archive.php poprzez manipulację argumentem sy. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W systemie SourceCodester Class and Exam Timetabling System 1.0 w pliku /preview6.php stwierdzono podatność na wstrzykiwanie SQL. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został publicznie ujawniony.
W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /preview.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W MLflow do wersji 4666cffc7912ea606d592fc38d6a75e2935f65e7 wykryto brak autoryzacji w API CRUD dla schematów etykiet w zakresie eksperymentu. Luka umożliwia zdalne manipulowanie danymi bez odpowiedniego uwierzytelnienia, choć jej wykorzystanie jest trudne ze względu na wysoką złożoność ataku.
W aplikacji arc53 DocsGPT do wersji 0.18.0 wykryto podatność w funkcji encrypt_credentials w pliku application/security/encryption.py. Polega ona na niewystarczającej weryfikacji autentyczności danych, co może umożliwić zdalny atak. Mimo wysokiego stopnia trudności exploita, został on opublikowany i może być wykorzystany.

