Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W YzmCMS do wersji 7.5 wykryto podatność SQL injection w pliku /application/install/index.php. Atak polega na manipulacji argumentem siteurl i może być przeprowadzony zdalnie, choć jest uznawany za trudny do wykorzystania. Exploit został publicznie ujawniony.
W komponencie ruoyi-vue-pro do wersji 2026.04-jdk8-SNAPSHOT wykryto podatność na przejście ścieżki (path traversal) w funkcji generateUploadPath pliku FileServiceImpl.java. Atakujący może zdalnie manipulować ścieżką pliku, co umożliwia dostęp do nieautoryzowanych zasobów.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /preview4.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument course_year_section, co umożliwia atakującemu wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /edit_class.php poprzez parametr ID. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność SQL Injection w funkcji emselectByCode pliku Employee_model.php. Atak polega na manipulacji argumentem emid w punkcie końcowym Update_Earn_Leave. Luka może być wykorzystana zdalnie, a exploit jest publicznie dostępny.
W CherryHQ cherry-studio do wersji 1.9.6 wykryto podatność w komponencie MCP OAuth Local Callback Server. Manipulacja argumentem 'code' w pliku callback.ts prowadzi do nieprawidłowej autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.
W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.
W programie SlimPDFReader w wersji do 2.0.14 odkryto lukę bezpieczeństwa w funkcji SlimPDFReader!Investintech::PCV::TeighaDo+0x25cde0 pliku SlimPDFReader.exe. Manipulacja prowadzi do odczytu poza dozwolonym zakresem pamięci. Atak może być przeprowadzony zdalnie.
W systemie SourceCodester Class and Exam Timetabling System 1.0/5.php wykryto podatność SQL injection w pliku /preview5.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /appointmentapproval.php. Nieznana funkcja komponentu Appointment Handler nieprawidłowo przetwarza argument editid, co umożliwia wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
W urządzeniu Tenda JD12L w wersji oprogramowania 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromNatStaticSetting pliku /goform/NatStaticSetting. Atakujący może zdalnie manipulować argumentem page, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.
W urządzeniu Tenda JD12L w wersji 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromAddressNat pliku /goform/addressNat. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem page. Szczegóły exploita zostały ujawnione publicznie.
W oprogramowaniu Tenda JD12L w wersji 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji formWifiBasicSet pliku /goform/WifiBasicSet. Atakujący może zdalnie wykorzystać ten błąd poprzez manipulację argumentem security_5g, co może prowadzić do wykonania dowolnego kodu.
W oprogramowaniu Tenda JD12L w wersji 16.03.53.23 wykryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromSetWifiGusetBasic pliku /goform/WifiGuestSet. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem shareSpeed.
W urządzeniu Tenda JD12L w wersji 16.03.53.23 wykryto podatność polegającą na przepełnieniu bufora stosu w funkcji formSetPPTPServer pliku /goform/SetPptpServerCfg. Manipulacja argumentem startIp umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
W aplikacji Chess Play and Learn na Androida do wersji 4.9.42 wykryto słabość związaną z przetwarzaniem pliku AndroidManifest.xml w komponencie com.chess. Manipulacja tym plikiem powoduje ujawnienie pliku kopii zapasowej poza kontrolowaną strefę. Atak wymaga fizycznego dostępu do urządzenia.
W MyScale MyScaleDB do wersji 1.8.0 wykryto lukę bezpieczeństwa w funkcji SegmentId::getCacheKey w pliku src/VectorIndex/Common/SegmentId.h. Polega ona na niewystarczającej weryfikacji autentyczności danych, co umożliwia zdalny atak o wysokiej złożoności. Exploit został opublikowany, a łatka oczekuje na akceptację.
W Databend do wersji 1.2.881 na HTTP wykryto podatność w komponencie Tenant Handler. Funkcja ClientSessionManager::state_key w pliku client_session_manager.rs umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
W bibliotece SimStudioAI sim do wersji 0.6.92 wykryto podatność w komponencie obsługi ochrony hasłem (apps/sim/lib/core/security/deployment.ts). Manipulacja prowadzi do użycia słabego skrótu (hasha), co umożliwia atak zdalny o wysokiej złożoności. Exploit został opublikowany, a naprawa oczekuje na akceptację.

