Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-0824
Niskie

W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.

CVE-2026-53325
Średnie

W sterowniku AMD64 AGP jądra Linux wykryto podatność polegającą na błędnym sprawdzaniu wartości zwracanej przez funkcję cache_nbs(). W przypadku braku fizycznego mostka AMD northbridge (np. w środowisku wirtualnym) funkcja zwraca -ENODEV, ale kod sprawdza tylko wartość -1, co maskuje błąd i prowadzi do dereferencji wskaźnika NULL w amd64_fetch_size().

CVE-2026-13538
ŚrednieEPSS 67%

W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.

CVE-2026-13537
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.

CVE-2026-13536
Średnie

W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.

CVE-2026-13535
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13534
Średnie

W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.

CVE-2026-13533
Średnie

W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13532
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13531
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /department.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany publicznie.

CVE-2026-13530
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /appointmentdetail.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-13529
Średnie

W YzmCMS do wersji 7.5 wykryto podatność SQL injection w pliku /application/install/index.php. Atak polega na manipulacji argumentem siteurl i może być przeprowadzony zdalnie, choć jest uznawany za trudny do wykorzystania. Exploit został publicznie ujawniony.

CVE-2026-13528
Wysokie

W komponencie ruoyi-vue-pro do wersji 2026.04-jdk8-SNAPSHOT wykryto podatność na przejście ścieżki (path traversal) w funkcji generateUploadPath pliku FileServiceImpl.java. Atakujący może zdalnie manipulować ścieżką pliku, co umożliwia dostęp do nieautoryzowanych zasobów.

CVE-2026-13527
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /preview4.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument course_year_section, co umożliwia atakującemu wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.

CVE-2026-13526
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /edit_class.php poprzez parametr ID. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

CVE-2026-13525
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność SQL Injection w funkcji emselectByCode pliku Employee_model.php. Atak polega na manipulacji argumentem emid w punkcie końcowym Update_Earn_Leave. Luka może być wykorzystana zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13524
Średnie

W CherryHQ cherry-studio do wersji 1.9.6 wykryto podatność w komponencie MCP OAuth Local Callback Server. Manipulacja argumentem 'code' w pliku callback.ts prowadzi do nieprawidłowej autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.

CVE-2026-13523
Niskie

W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.

CVE-2026-13522
Średnie

W programie SlimPDFReader w wersji do 2.0.14 odkryto lukę bezpieczeństwa w funkcji SlimPDFReader!Investintech::PCV::TeighaDo+0x25cde0 pliku SlimPDFReader.exe. Manipulacja prowadzi do odczytu poza dozwolonym zakresem pamięci. Atak może być przeprowadzony zdalnie.

CVE-2026-13521
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0/5.php wykryto podatność SQL injection w pliku /preview5.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

PoprzedniaStrona 112 z 4499Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS