Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W Feehi CMS do wersji 2.1.1 wykryto podatność w pliku /api/users komponentu API. Nieznana funkcjonalność tego pliku powoduje nieprawidłową kontrolę dostępu, co umożliwia zdalne ataki. Exploit został opublikowany i może być wykorzystany.
W Documenso do wersji 2.11.0 wykryto podatność w komponencie logowania przez Google OAuth. Nieznana funkcjonalność pliku handle-oauth-callback-url.ts prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /doctorprofile.php. Atakujący może zdalnie manipulować argumentem doctorname, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /doctorchangepassword.php. Manipulacja argumentem newpassword umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W GitBucket do wersji 4.46.1 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji Git.cloneRepository.setURI. Manipulacja argumentem url w pliku RepositoryCreationService.scala umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany, a zalecane jest zastosowanie łatki.
W urządzeniu Wavlink WL-NU516U1-A w wersji M16U1_V240425 wykryto podatność na przepełnienie bufora stosu w funkcji sub_407504 pliku /cgi-bin/wireless.cgi. Manipulacja argumentem Guest_ssid w komponencie POST Parameter Handler umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.
Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.
Podatność polegająca na ujawnieniu informacji w oprogramowaniu Hitachi Storage Navigator. Luka występuje w wielu modelach macierzy Hitachi Virtual Storage Platform przed określonymi wersjami oprogramowania DKCMAIN i SVP.
W systemach Hitachi Virtual Storage Platform wykryto podatność nieprawidłowej autoryzacji w narzędziu konserwacyjnym. Luka umożliwia nieautoryzowany dostęp do funkcji utrzymaniowych, co może prowadzić do naruszenia integralności i poufności danych.
W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.
W sterowniku AMD64 AGP jądra Linux wykryto podatność polegającą na błędnym sprawdzaniu wartości zwracanej przez funkcję cache_nbs(). W przypadku braku fizycznego mostka AMD northbridge (np. w środowisku wirtualnym) funkcja zwraca -ENODEV, ale kod sprawdza tylko wartość -1, co maskuje błąd i prowadzi do dereferencji wskaźnika NULL w amd64_fetch_size().
W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.
W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.
W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /department.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany publicznie.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /appointmentdetail.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

