Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
System sprzedaży w aptece sourcecodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /pharmacy/view_category.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
System sprzedaży w aptece sourcecodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /pharmacy/manage_user.php.
System zarządzania mieniem pracowniczym w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ppes/admin/edit_employee.php.
W Tenda AC15V1.0 V15.03.05.18_multi odkryto problem w funkcji goform/formsetUsbUnload, gdzie wartość `v1` nie była weryfikowana. Może to prowadzić do podatności na wstrzyknięcie poleceń, jeśli zostanie wstrzyknięta do funkcji doSystemCmd.
W wersjach Twenty CRM v1.15.0 i wcześniejszych występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pośrednictwem modułu local.driver.ts.
System Zarządzania Mieniem Pracowniczym w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ppes/admin/edit_tecnical_user.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiaru przy przetwarzaniu wartości `userInfo` w funkcji `addWewifiWhiteUser`. Może to prowadzić do podatności na przepełnienie bufora.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z przetwarzaniem zbyt długich danych w funkcji `addDhcpRule`. Brak walidacji rozmiaru reguł może prowadzić do przepełnienia bufora w zmiennych `dhcpsIndex`, `dhcpsIP` i `dhcpsMac`.
W urządzeniu Tenda AC15V1.0 V15.03.05.18_multi odkryto problem w goform/formSetIptv, który może prowadzić do podatności na wstrzyknięcie poleceń. W przypadku spełnienia określonych warunków, wartość `s1_1` jest przekazywana do sub_B0488 i łączona w `doSystemCmd`, bez walidacji.
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 w aplikacji występowała deserializacja danych, co umożliwiało ich fałszowanie. Atakujący mógł tworzyć obiekty dowolnych klas oraz w pełni kontrolować ich właściwości, co pozwalało na modyfikację logiki działania aplikacji webowej.
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 występowała podatność typu blind SSRF w pliku /index.php za pomocą parametru POST openid_url. Problem ten został naprawiony w wersji 1.11.30.
System zarządzania mieniem osobowym w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ppes/admin/advance_search.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System zarządzania mieniem osobowym w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ppes/admin/myitem_reuse.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/recordteacher_edit.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/recordstudent_edit.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/modal_view.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiarów `gstup` i `gstdwn` przed ich konkatenacją do `gstruleQos`, co może prowadzić do przepełnienia bufora.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji `pPortMapIndex`, co może prowadzić do przepełnienia bufora podczas używania funkcji `strcpy`.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z możliwością przepełnienia bufora. Atakujący mogą wykorzystać tę podatność, kontrolując wartość `nptr`, która jest przekazywana do funkcji `getMibPrefix` i łączona za pomocą `sprintf` bez odpowiedniej walidacji rozmiaru.
W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiaru przy przetwarzaniu wartości `userInfo` w funkcji `addAuthUser`. Może to prowadzić do przepełnienia bufora.

