Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-13529
Średnie

W YzmCMS do wersji 7.5 wykryto podatność SQL injection w pliku /application/install/index.php. Atak polega na manipulacji argumentem siteurl i może być przeprowadzony zdalnie, choć jest uznawany za trudny do wykorzystania. Exploit został publicznie ujawniony.

CVE-2026-13528
Wysokie

W komponencie ruoyi-vue-pro do wersji 2026.04-jdk8-SNAPSHOT wykryto podatność na przejście ścieżki (path traversal) w funkcji generateUploadPath pliku FileServiceImpl.java. Atakujący może zdalnie manipulować ścieżką pliku, co umożliwia dostęp do nieautoryzowanych zasobów.

CVE-2026-13527
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /preview4.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument course_year_section, co umożliwia atakującemu wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a szczegóły exploit zostały ujawnione publicznie.

CVE-2026-13526
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /edit_class.php poprzez parametr ID. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

CVE-2026-13525
Średnie

W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność SQL Injection w funkcji emselectByCode pliku Employee_model.php. Atak polega na manipulacji argumentem emid w punkcie końcowym Update_Earn_Leave. Luka może być wykorzystana zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13524
Średnie

W CherryHQ cherry-studio do wersji 1.9.6 wykryto podatność w komponencie MCP OAuth Local Callback Server. Manipulacja argumentem 'code' w pliku callback.ts prowadzi do nieprawidłowej autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.

CVE-2026-13523
Niskie

W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.

CVE-2026-13522
Średnie

W programie SlimPDFReader w wersji do 2.0.14 odkryto lukę bezpieczeństwa w funkcji SlimPDFReader!Investintech::PCV::TeighaDo+0x25cde0 pliku SlimPDFReader.exe. Manipulacja prowadzi do odczytu poza dozwolonym zakresem pamięci. Atak może być przeprowadzony zdalnie.

CVE-2026-13521
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0/5.php wykryto podatność SQL injection w pliku /preview5.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-13520
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /appointmentapproval.php. Nieznana funkcja komponentu Appointment Handler nieprawidłowo przetwarza argument editid, co umożliwia wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13519
Wysokie

W urządzeniu Tenda JD12L w wersji oprogramowania 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromNatStaticSetting pliku /goform/NatStaticSetting. Atakujący może zdalnie manipulować argumentem page, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13518
Wysokie

W urządzeniu Tenda JD12L w wersji 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromAddressNat pliku /goform/addressNat. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem page. Szczegóły exploita zostały ujawnione publicznie.

CVE-2026-13517
Wysokie

W oprogramowaniu Tenda JD12L w wersji 16.03.53.23 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji formWifiBasicSet pliku /goform/WifiBasicSet. Atakujący może zdalnie wykorzystać ten błąd poprzez manipulację argumentem security_5g, co może prowadzić do wykonania dowolnego kodu.

CVE-2026-13516
Wysokie

W oprogramowaniu Tenda JD12L w wersji 16.03.53.23 wykryto podatność polegającą na przepełnieniu bufora stosu w funkcji fromSetWifiGusetBasic pliku /goform/WifiGuestSet. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem shareSpeed.

CVE-2026-13515
Wysokie

W urządzeniu Tenda JD12L w wersji 16.03.53.23 wykryto podatność polegającą na przepełnieniu bufora stosu w funkcji formSetPPTPServer pliku /goform/SetPptpServerCfg. Manipulacja argumentem startIp umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.

CVE-2026-13514
Niskie

W aplikacji Chess Play and Learn na Androida do wersji 4.9.42 wykryto słabość związaną z przetwarzaniem pliku AndroidManifest.xml w komponencie com.chess. Manipulacja tym plikiem powoduje ujawnienie pliku kopii zapasowej poza kontrolowaną strefę. Atak wymaga fizycznego dostępu do urządzenia.

CVE-2026-13513
Średnie

W MyScale MyScaleDB do wersji 1.8.0 wykryto lukę bezpieczeństwa w funkcji SegmentId::getCacheKey w pliku src/VectorIndex/Common/SegmentId.h. Polega ona na niewystarczającej weryfikacji autentyczności danych, co umożliwia zdalny atak o wysokiej złożoności. Exploit został opublikowany, a łatka oczekuje na akceptację.

CVE-2026-13512
Średnie

W Databend do wersji 1.2.881 na HTTP wykryto podatność w komponencie Tenant Handler. Funkcja ClientSessionManager::state_key w pliku client_session_manager.rs umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13511
Niskie

W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

CVE-2026-13510
Niskie

W bibliotece SimStudioAI sim do wersji 0.6.92 wykryto podatność w komponencie obsługi ochrony hasłem (apps/sim/lib/core/security/deployment.ts). Manipulacja prowadzi do użycia słabego skrótu (hasha), co umożliwia atak zdalny o wysokiej złożoności. Exploit został opublikowany, a naprawa oczekuje na akceptację.

PoprzedniaStrona 151 z 4564Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS