Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Skrypt do wyświetlania katalogów PHP Evoluted w wersji 4.0.5 zawiera podatność na refleksyjny atak XSS w pliku index.php, gdzie wartość parametru dir jest odzwierciedlana bez kodowania HTML w elemencie tytułu oraz atrybutach href w nawigacji okruszkowej.
Wersje stacjonarne Dreamweaver 21.7 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do nieautoryzowanego odczytu systemu plików. Atakujący może wykorzystać tę podatność do uzyskania dostępu do wrażliwych plików i katalogów poza zamierzonym zakresem dostępu.
Wersje stacjonarne Dreamweaver 21.7 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do nieautoryzowanego odczytu systemu plików. Atakujący może wykorzystać tę lukę, aby uzyskać dostęp do wrażliwych plików i katalogów poza zamierzonym zakresem dostępu.
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na przechowywane ataki XSS w funkcjonalności wyszukiwania kursów. Użytkownicy z dostępem do zapisu w systemie mogą wstrzykiwać złośliwe skrypty JavaScript do pól związanych z wykładowcami i kursami.
Ellucian Banner Self-Service przed wydaniem T2 w kwietniu 2025 roku zawiera podatność na refleksyjny atak XSS, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary. Atakujący mogą wstrzykiwać niesanitowane dane przez parametr toDateFormat w punkcie końcowym dateConverter.
BIOS platformy Dell Client zawiera słabe kodowanie haseł, co może być wykorzystane przez nieautoryzowanego atakującego z fizycznym dostępem. Wykorzystanie tej podatności może prowadzić do podniesienia uprawnień.
SemCms w wersji 5.0 jest podatny na atak Cross Site Request Forgery (CSRF) poprzez spreparowane żądanie POST do /admin/semcms_user.php.
W urządzeniu Tenda G0 w wersji 15.11.0.5 odkryto wiele przepełnień stosu w funkcji formSetDebugCfgr, które występują w parametrach enable, level i module. Te podatności umożliwiają atakującym spowodowanie odmowy usługi (DoS) za pomocą spreparowanego żądania HTTP.
W routerze bezprzewodowym Tenda O3 v1.0.0.5(4180) odkryto przepełnienie stosu w parametrze nazwy użytkownika funkcji R7WebsSecurityHandler. Ta podatność umożliwia atakującym spowodowanie odmowy usługi (DoS) za pomocą odpowiednio skonstruowanego żądania HTTP.
W routerze bezprzewodowym Tenda W3 v1.0.0.3(2204) odkryto przepełnienie stosu w parametrze param_1 funkcji formSetCfm. Ta podatność umożliwia atakującym wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanego żądania HTTP.
W routerze bezprzewodowym Tenda W3 v1.0.0.3(2204) odkryto przepełnienie stosu w parametrze Go funkcji ask_to_reboot. Ta podatność umożliwia atakującym spowodowanie odmowy usługi (DoS) poprzez odpowiednio przygotowany input.
Router bezprzewodowy Tenda W3 w wersji 1.0.0.3(2204) zawiera podatność typu przepełnienie stosu w parametrze wl_radio funkcji formwrlSSIDget. Atakujący mogą wykorzystać tę podatność do wywołania ataku typu Denial of Service (DoS) poprzez odpowiednio przygotowany input.
W FastapiAdmin v2.2.0 występuje podatność typu cross-site scripting (XSS) w funkcji czatu asystenta AI, która pozwala atakującym na wykonanie dowolnych skryptów webowych lub HTML poprzez wstrzyknięcie spreparowanego ładunku do wiadomości czatu.
Wersja 8.3 aplikacji bookcars zawiera podatność umożliwiającą nieautoryzowanym atakującym usuwanie dowolnych plików poprzez wykorzystanie sekwencji przejścia katalogów w punkcie końcowym /api/delete-temp-license/{file}.
W FastapiAdmin v2.2.0 występuje podatność typu cross-site scripting (XSS) w punkcie końcowym /system/notice/create, która pozwala atakującym na wykonanie dowolnych skryptów webowych lub HTML poprzez wstrzyknięcie spreparowanego ładunku do parametru notice_content.
W wersji 2.2.0 FastapiAdmin występuje nieobsługiwany wyjątek w punkcie końcowym /application/job/update/{id}, co pozwala uwierzytelnionym atakującym z uprawnieniami module_task:job:update na wywołanie ataku typu Denial of Service (DoS) poprzez manipulację polem func zadań zaplanowanych.
W komponentach /api/create-car-image w bookcars v8.3 występuje podatność na uwierzytelnione przesyłanie dowolnych plików, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.
W funkcji ctts_box_write w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W wersji 2.4 GPAC MP4Box odkryto wyjątek punktu zmiennoprzecinkowego w funkcji gf_opus_parse_packet_header, co może prowadzić do awarii aplikacji. Ta podatność umożliwia atakującym spowodowanie Denial of Service (DoS) za pomocą spreparowanego pliku MP4.
W funkcji gf_isom_get_user_data_count w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.

