Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Zidentyfikowano podatność w Weaviate do wersji 1.37.7, która dotyczy funkcji validateConfig w pliku usecases/auth/authentication/apikey/client.go komponentu Static API Key Handler. Manipulacja argumentem StaticApiKey prowadzi do obejścia autoryzacji.
Wykryto podatność w D-Link DCS-5615 w wersji 1.01.00, dotycząca nieznanej funkcjonalności pliku /etc/conf.d/boa/boa.conf komponentu Boa Webserver. Manipulacja tą funkcjonalnością prowadzi do naruszenia zasady minimalnych uprawnień.
W systemie zarządzania zapasami składników CodeAstro w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /Ingredients-Stock/add_stock.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.
Wykryto podatność w urządzeniu TOTOLINK AC1200 T8 w wersji 4.1.5cu.8611, dotycząca pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.
Zidentyfikowano słabość w Tenda AC15 15.03.05.19, dotyczącą nieznanej funkcji pliku /etc_ro/smb.conf komponentu Samba. Manipulacja tym elementem może prowadzić do słabych wymagań dotyczących haseł.
W urządzeniu D-Link DIR-823G w wersji 1.0.2B05 odkryto lukę bezpieczeństwa w nieznanej funkcji pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym elementem prowadzi do naruszenia zasady minimalnych uprawnień.
W Neovim do wersji 0.12.2 zidentyfikowano lukę w funkcji M.read w pliku runtime/lua/vim/secure.lua, która może prowadzić do wstrzyknięcia poleceń. Manipulacja argumentem path umożliwia atak na lokalnym hoście.
Wykryto podatność w Chengdu Everbrite Network Technology BeikeShop do wersji 1.6.0.22, która umożliwia zdalne wykonanie ataku SQL injection poprzez manipulację argumentem settings.value w pliku beike/Admin/Routes/admin.php.
Wykryto podatność w wersji 0.35.0 komponentu Qdrant Backend w bibliotece yoanbernabeu grepai. Problem dotyczy nieznanego przetwarzania pliku indexer/chunker.go, co prowadzi do użycia słabego hasha.
Wykryto podatność w hs-web hsweb-framework do wersji 5.0.1, która dotyczy funkcji OAuth2Client. Manipulacja prowadzi do otwartego przekierowania, co może być wykorzystane przez atakującego zdalnie.
W systemie zarządzania studentami Kushan2k wykryto podatność, która dotyczy funkcji edit-admin w pliku controllers/AdminController.php. Manipulacja argumentem isadmin prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne wykorzystanie tej luki.
Zidentyfikowano słabość w systemie zarządzania studentami Kushan2k, która dotyczy funkcji getStatus w pliku controllers/GradeController.php. Manipulacja argumentem nic może prowadzić do wstrzyknięcia SQL, co stwarza ryzyko zdalnych ataków.
Wtyczka WordPress admin-word-count-column w wersji 2.2 zawiera podatność na odczyt lokalnych plików, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie wstrzyknięcia bajtów null w parametrze ścieżki.
Wtyczka WordPress WP24 Domain Check w wersji 1.6.2 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów poprzez pole 'fieldnameDomain'. Atakujący mogą wstrzykiwać ładunki JavaScript przez formularz ustawień w pliku options.php, które wykonują się w przeglądarkach administratorów przeglądających stronę ustawień.
Wtyczka WordPress Stripe Payments w wersji 2.0.39 zawiera podatność na przechowywane ataki XSS, umożliwiając uwierzytelnionym atakującym wstrzykiwanie złośliwych skryptów przez parametr AcceptStripePayments-settings[currency_code]. Atakujący mogą wysyłać żądania POST do /wp-admin/options.php z ładunkami skryptów w polu currency_code, co pozwala na wykonanie dowolnego JavaScriptu w przeglądarkach administratorów podczas przeglądania ustawień.
Wtyczka WordPress WP-Paginate w wersji 2.1.3 zawiera podatność na przechowywane ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem preset.
Zidentyfikowano podatność w jflyfox jfinal_cms do wersji 5.1.0, która dotyczy funkcji list w pliku AdvicefeedbackController.java. Manipulacja argumentem orderBy prowadzi do wstrzyknięcia SQL.
Wykryto podatność w hs-web hsweb-framework do wersji 5.0.1, która dotyczy funkcji denied w pliku FileUploadProperties.java. Manipulacja argumentem filename prowadzi do ataku typu path traversal, który można przeprowadzić zdalnie.
W jishenghua jshERP do wersji 3.6 zidentyfikowano lukę w funkcji insertPlatformConfig, która może prowadzić do ataku typu server-side request forgery (SSRF). Manipulacja argumentem platformValue umożliwia zdalne wykonanie ataku.
W jishenghua jshERP w wersjach do 3.6 zidentyfikowano podatność, która dotyczy funkcji addAccountHeadAndDetail w pliku AccountHeadService.java. Manipulacja argumentem fileName prowadzi do ataku typu path traversal, który może być przeprowadzony zdalnie.

