Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13601
Wysokie

W Yelp wykryto podatność spowodowaną zbyt liberalną polityką bezpieczeństwa treści (CSP) w bibliotece yelp-xsl. Złośliwa aplikacja Flatpak może otworzyć spreparowaną pomoc przez portal OpenURI, a osadzenie niezaufanego arkusza CSS w dokumentach SVG pozwala ominąć izolację sandboksową Flatpaka. Umożliwia to Yelp odczytywanie lokalnych plików XML i ujawnianie dowolnych plików hosta przez zdalne żądania CSS.

CVE-2026-13557
Średnie

W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS w pliku /admin/mod_room/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie złośliwego skryptu. Exploit jest publicznie dostępny.

CVE-2026-13556
Średnie

W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS. Nieznana część pliku /admin/mod_users/controller.php?action=edit w komponencie POST Request Handler pozwala na manipulację argumentem Name, co prowadzi do wykonania skryptów po stronie przeglądarki. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13555
Wysokie

W systemie Online Hotel Management System 1.0 znaleziono podatność SQL Injection w pliku /admin/mod_users/controller.php?action=add. Manipulacja argumentem Name umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.

CVE-2026-13554
Średnie

W systemie Online Hotel Management System 1.0 znaleziono podatność na atak XSS w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie skryptów. Exploit został opublikowany.

CVE-2026-13553
Wysokie

W systemie Online Hotel Management System 1.0 znaleziono lukę w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem image umożliwia nieograniczone przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13552
Wysokie

W systemie Online Hotel Management System 1.0 wykryto podatność SQL Injection w pliku /admin/mod_amenities/controller.php?action=edit. Atakujący może zdalnie manipulować argumentem amen_id, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

CVE-2026-9267
Średnie

W bibliotece Eclipse tinydtls przed commitem b3efd41ad111a4920f599f51ffa4f5e9f1e72221 wykryto podatność na odczyt poza dozwolonym zakresem pamięci w funkcji check_server_certificate(). Nieuwierzytelniony atakujący może wysłać spreparowaną wiadomość uzgadniania certyfikatu z określoną wartością fragment_length, co prowadzi do odczytu poza buforem.

CVE-2026-57966
Średnie

W bibliotece spice-vdagent wykryto podatność na przechodzenie do katalogów nadrzędnych (path traversal). Luka umożliwia złośliwemu lub skompromitowanemu hostowi SPICE zapis dowolnych plików w dowolnej lokalizacji w systemie gościa, ponieważ nazwa pliku dostarczana przez hosta nie jest odpowiednio oczyszczana przed użyciem.

CVE-2026-57965
Średnie

W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty i awarii demona spice-vdagent. Powoduje to odmowę usługi (DoS) dla maszyny wirtualnej.

CVE-2026-57676
Średnie

Wtyczka Simple User Avatar dla WordPressa zawiera podatność polegającą na obejściu autoryzacji poprzez kontrolowany przez użytkownika klucz. Umożliwia to wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu.

CVE-2026-22078
Wysokie

Podatność w usłudze IPC O+ Connect wynika z braku uwierzytelniania klientów. Zewnętrzne aplikacje mogą eskalować uprawnienia i wykonywać wrażliwe akcje przez kanał IPC.

CVE-2026-13595
Średnie

W bibliotece libblkid pakietu util-linux wykryto podatność polegającą na użyciu zwolnionej pamięci sterty (use-after-free). Podczas skanowania zagnieżdżonych partycji, wskaźnik do wpisu partycji nadrzędnej staje się nieaktualny po realokacji tablicy, co umożliwia atakującemu odczyt z nieprawidłowego obszaru pamięci.

CVE-2026-13551
Wysokie

W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność SQL injection w pliku /editBaptism.php. Atakujący może zdalnie manipulować argumentem ID, co prowadzi do wstrzyknięcia kodu SQL. Exploit został ujawniony publicznie.

CVE-2026-13550
Wysokie

W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /delbaptism.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument ID, co umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.

CVE-2026-13549
Średnie

W systemie CodeAstro Complaint Management System 1.0 wykryto lukę w funkcji deletereport w pliku Report.php. Umożliwia ona zdalne ominięcie autoryzacji poprzez manipulację punktem końcowym raportu.

CVE-2026-13548
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /doctortimings.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-13547
Wysokie

W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność polegającą na nieograniczonym przesyłaniu plików. Problem występuje w pliku /manage/resourceUpload/upload.do, gdzie manipulacja argumentem File pozwala na zdalne wgranie dowolnego pliku. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13546
Wysokie

W Feehi CMS do wersji 2.1.1 wykryto brak uwierzytelnienia w punkcie końcowym REST API /api/articles. Luka umożliwia zdalne wykorzystanie bez konieczności logowania, a szczegóły exploitów są publicznie dostępne.

CVE-2026-13545
WysokieEPSS 72%

W oprogramowaniu kamery D-Link DCS-935L w wersji 1.10.01 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji sub_400E40 pliku setconf.cgi, gdzie argument UID jest nieprawidłowo obsługiwany przez komponent POST Parameter Handler. Atak może być przeprowadzony zdalnie, a szczegóły exploit'a są publicznie dostępne.

PoprzedniaStrona 133 z 4551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS