Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
LLaMA-Factory do wersji 0.9.5 zawiera podatność na zdalne wykonanie kodu, która pozwala atakującym z dostępem do interfejsu WebUI na wykonanie dowolnego kodu Python poprzez podanie złośliwej ścieżki modelu w interfejsach czatu lub trenowania. Aplikacja przekazuje niezweryfikowaną ścieżkę modelu do funkcji AutoTokenizer.from_pretrained() i AutoModel.from_pretrained() z zakodowanym na stałe parametrem trust_remote_code=True, co powoduje, że biblioteka Hugging Face transformers pobiera i wykonuje dowolny kod ze zdalnego lub lokalnego repozytorium modeli z uprawnieniami procesu serwera.
W produkcie SYSGUARD 6001 firmy Eksagate wykryto podatność na ślepe wstrzykiwanie SQL (Blind SQL Injection) spowodowane nieprawidłową neutralizacją specjalnych elementów w zapytaniach SQL. Luka występuje w wersjach od 2.0.2 do 6.1.16.0, a producent nie wspiera już tego urządzenia.
W systemie Redeight CMS w wersji 1.0 wykryto podatność na wstrzykiwanie SQL w parametrze "userEmail" w punkcie końcowym POST "/admin/index.php". Aplikacja nie oczyszcza danych wejściowych i bezpośrednio interpoluje je do zapytań SQL bez użycia przygotowanych wyrażeń, co umożliwia nieuwierzytelnionym zdalnym atakującym wykonanie dowolnych poleceń SQL i wyodrębnienie wrażliwych danych z bazy.
Podatność w systemie Hospital Queuing Management firmy Advantech umożliwia nieuwierzytelnionym zdalnym atakującym dostęp do dokumentacji API poprzez określony URL, co prowadzi do ujawnienia wrażliwych danych.
DBIx::QuickORM w wersjach przed 0.000026 dla Perla zawiera podatność na wstrzykiwanie SQL przez niecytowane identyfikatory SQL. Domyślny konstruktor SQL::Abstract nie ustawia quote_char, przez co identyfikatory są przekazywane w surowej postaci do zapytania SQL.
Wtyczka EventON dla WordPressa do wersji 5.0.11 zawiera podatność na wstrzykiwanie SQL przez parametr 'search'. Brak odpowiedniego escapowania i przygotowania zapytań SQL umożliwia nieuwierzytelnionym atakującym dołączanie dodatkowych zapytań, co pozwala na wyodrębnienie poufnych danych z bazy, jeśli włączona jest opcja 'Enable additional search queries' i istnieje co najmniej jedno opublikowane wydarzenie.
Raytha CMS zawiera podatność na wstrzykiwanie SQL w mechanizmie parsowania filtrów OData. Umożliwia ona zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnych zapytań SQL na bazie PostgreSQL, co prowadzi do pełnego przejęcia bazy danych, w tym wyodrębnienia danych uwierzytelniających.
Sterownik PLC Delta Electronics DVP12SE udostępnia usługę Modbus TCP bez wymaganego uwierzytelniania ani kontroli dostępu, co pozwala nieuwierzytelnionym atakującym na interakcję z wrażliwymi funkcjami bezpieczeństwa sterownika.
Sterowniki PLC Delta Electronics DVP12SE są podatne na atak polegający na nieograniczonej alokacji zasobów w usłudze Modbus TCP. Brak limitów lub mechanizmów ograniczających może prowadzić do wyczerpania zasobów systemowych.
Wtyczka ProfileGrid dla WordPressa do wersji 5.9.9.5 włącznie zawiera podatność umożliwiającą eskalację uprawnień poprzez przejęcie konta. Brak walidacji parametru `user_login` w formularzach rejestracyjnych oraz nieprawidłowa obsługa komunikatów błędów pozwalają nieuwierzytelnionemu atakującemu na zmianę adresu e-mail konta o ID=1 (zazwyczaj administratora), a następnie zresetowanie hasła i przejęcie dostępu.
Podatność w Apache Tomcat powoduje, że specjalne role i puste ograniczenia autoryzacji nie są uwzględniane podczas logowania efektywnego pliku web.xml. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M1 do 10.1.55, od 9.0.0.M1 do 9.0.118 oraz od 8.5.0 do 8.5.100.
W Apache Tomcat wykryto podatność polegającą na braku reakcji na błąd podczas konfigurowania list CRL dla konektora opartego na FFM. Problem dotyczy wersji od 11.0.0-M1 do 11.0.22, od 10.1.0-M7 do 10.1.55 oraz od 9.0.83 do 9.0.118.
Coolify przed wersją 4.0.0-beta.474 zawiera podatność polegającą na braku walidacji własności serwera w komponentach Livewire. Komponenty te akceptują parametry server_id i destination_uuid z zapytań URL bez sprawdzania przynależności do zespołu, co umożliwia wdrożenie zasobów na serwerach innych zespołów.
Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub uszkodzenia pamięci jądra. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.
Podatność w Alexantr filemanager v.1.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent filemanager.php. Problem wynika z braku odpowiedniego zabezpieczenia przed wstrzykiwaniem kodu.
Niespójna interpretacja żądań HTTP/2 w AWS Application Load Balancer z włączonym AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści reguł zarządzanych AWS WAF poprzez spreparowane żądania HTTP/2, które fragmentują treść żądania między ramkami, co powoduje inspekcję tylko częściowej treści. Problem dotyczy tylko grup docelowych ALB dla HTTP/2.
Niespójna interpretacja żądań HTTP/2 w Amazon CloudFront z włączoną usługą AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści zarządzanych reguł AWS WAF poprzez wysyłanie spreparowanych żądań HTTP/2, które fragmentują treść żądania między ramkami, tak że inspekcja obejmuje tylko jej część.
Podatność w systemie Gorse przed wersją 0.5.10 umożliwia ominięcie uwierzytelniania w endpointach /api/dump i /api/restore. Atakujący bez uwierzytelnienia może wyeksfiltrować całą bazę danych zawierającą dane osobowe użytkowników lub całkowicie nadpisać zbiór danych.
W narzędziu HTTP tool URL builder biblioteki googleapis/mcp-toolbox wykryto podatność na path traversal. Podczas konstruowania zapytań API, atakujący może dostarczyć parametry ścieżki zawierające sekwencje przejścia do katalogu nadrzędnego (../), co pozwala na ominięcie ograniczeń ścieżki i dostęp do nieautoryzowanych zasobów na tym samym hoście docelowym.
Podatność w skrypcie Performer Arbitrary File Deletion w Paid Videochat Turnkey Site w wersjach do 7.4.8 umożliwia usunięcie dowolnego pliku na serwerze. Atakujący może wykorzystać tę lukę do usunięcia krytycznych plików systemowych lub aplikacji.

