Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-13544
Średnie

W Feehi CMS do wersji 2.1.1 wykryto podatność w pliku /api/users komponentu API. Nieznana funkcjonalność tego pliku powoduje nieprawidłową kontrolę dostępu, co umożliwia zdalne ataki. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13543
Średnie

W Documenso do wersji 2.11.0 wykryto podatność w komponencie logowania przez Google OAuth. Nieznana funkcjonalność pliku handle-oauth-callback-url.ts prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13542
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /doctorprofile.php. Atakujący może zdalnie manipulować argumentem doctorname, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.

CVE-2026-13541
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /doctorchangepassword.php. Manipulacja argumentem newpassword umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13540
Średnie

W GitBucket do wersji 4.46.1 wykryto podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji Git.cloneRepository.setURI. Manipulacja argumentem url w pliku RepositoryCreationService.scala umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany, a zalecane jest zastosowanie łatki.

CVE-2026-13539
Wysokie

W urządzeniu Wavlink WL-NU516U1-A w wersji M16U1_V240425 wykryto podatność na przepełnienie bufora stosu w funkcji sub_407504 pliku /cgi-bin/wireless.cgi. Manipulacja argumentem Guest_ssid w komponencie POST Parameter Handler umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.

CVE-2026-10083
Wysokie

Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.

CVE-2025-7386
Średnie

Podatność polegająca na ujawnieniu informacji w oprogramowaniu Hitachi Storage Navigator. Luka występuje w wielu modelach macierzy Hitachi Virtual Storage Platform przed określonymi wersjami oprogramowania DKCMAIN i SVP.

CVE-2025-2902
Wysokie

W systemach Hitachi Virtual Storage Platform wykryto podatność nieprawidłowej autoryzacji w narzędziu konserwacyjnym. Luka umożliwia nieautoryzowany dostęp do funkcji utrzymaniowych, co może prowadzić do naruszenia integralności i poufności danych.

CVE-2025-0824
Niskie

W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.

CVE-2026-53325
Średnie

W sterowniku AMD64 AGP jądra Linux wykryto podatność polegającą na błędnym sprawdzaniu wartości zwracanej przez funkcję cache_nbs(). W przypadku braku fizycznego mostka AMD northbridge (np. w środowisku wirtualnym) funkcja zwraca -ENODEV, ale kod sprawdza tylko wartość -1, co maskuje błąd i prowadzi do dereferencji wskaźnika NULL w amd64_fetch_size().

CVE-2026-13538
ŚrednieEPSS 67%

W urządzeniu Wavlink WL-NU516U1-A w wersji oprogramowania M16U1_V240425 wykryto podatność na wstrzykiwanie poleceń. Problem występuje w funkcji sub_401D68 pliku /cgi-bin/wireless.cgi, gdzie parametry SSID2G2, SSID5G2, AuthMethod2 i WPAPSK12 są nieprawidłowo przetwarzane. Atakujący może zdalnie wykorzystać tę lukę, a exploit został już opublikowany.

CVE-2026-13537
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na fałszerstwo żądania międzywitrynowego (CSRF). Nieznana funkcja systemu umożliwia atakującemu zdalne wykonanie nieautoryzowanych działań w imieniu uwierzytelnionego użytkownika. Exploit został opublikowany i może być wykorzystany w praktyce.

CVE-2026-13536
Średnie

W GotoHTTP do wersji 10.2 wykryto podatność na atak XSS w pliku /reg.12x poprzez manipulację parametrem sn. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.

CVE-2026-13535
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w funkcji GetFileInfo pliku Employee_model.php. Manipulacja argumentem ID w endpointcie widoku umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13534
Średnie

W CherryHQ cherry-studio do wersji 1.9.7 wykryto podatność w funkcji sha256 pliku MemoryService.ts komponentu CherryIN Preload API. Manipulacja argumentem state prowadzi do obejścia autoryzacji.

CVE-2026-13533
Średnie

W Cockpit CMS do wersji 0.12.2 wykryto podatność w funkcji Spyc::YAMLLoad pliku /config/config.yaml komponentu htaccess Handler. Manipulacja ta prowadzi do nieautoryzowanego dostępu do plików lub katalogów. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13532
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /departmentDoctor.php. Atakujący może zdalnie manipulować argumentem deptid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-13531
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /department.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany publicznie.

CVE-2026-13530
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL injection w pliku /appointmentdetail.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.

PoprzedniaStrona 150 z 4564Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS