Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Zidentyfikowano słabość w zilliztech deep-searcher do wersji 0.0.2, która dotyczy funkcji CollectionRouter.invoke w pliku deepsearcher/agent/collection_router.py. Manipulacja argumentem kwargs prowadzi do niewłaściwych kontroli dostępu.
Wykryto podatność w NousResearch hermes-agent do wersji 0.12.0, która dotyczy funkcji resolve_session_by_title w pliku hermes_state.py komponentu resume Endpoint. Manipulacja argumentem Title prowadzi do obejścia autoryzacji.
Zidentyfikowano słabość w erzhongxmu JeeWMS do wersji 141740afb2ba14d441c82a833d0a418d07ca2d69, która dotyczy nieznanego przetwarzania pliku /base-boot/actuator w komponencie Boot Actuator Endpoint. Manipulacja tym plikiem może prowadzić do ujawnienia informacji.
W podatności CVE-2026-11455 w FoundationAgents MetaGPT do wersji 0.8.2 zidentyfikowano problem w funkcji check_cmd_exists w pliku metagpt/utils/common.py. Manipulacja argumentem mermaid.path prowadzi do możliwości wstrzyknięcia poleceń.
W systemie Tiobon Employee Self-Service do wersji 7.2 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /Blog/BlogSearch.aspx w komponencie Login Endpoint. Manipulacja argumentem Keyword prowadzi do wstrzykiwania SQL, co może być wykorzystane zdalnie.
Wykryto podatność w GL.iNet GL-MT3000 w wersji 4.4.5, dotycząca funkcji rpc_sys w pliku /cgi-bin/luci/rpc interfejsu LuCI JSON-RPC. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń.
Zidentyfikowano słabość w GL.iNet GL-MT3000 do wersji 4.4.5, która dotyczy funkcji realpath w pliku /rpc komponentu Minidlna Service. Manipulacja argumentem kube.set prowadzi do wstrzyknięcia poleceń.
W GL.iNet GL-MT3000 do wersji 4.4.5 odkryto lukę bezpieczeństwa w funkcji iwinfo_backend pliku iwinfo.so komponentu MTK Backend. Manipulacja argumentem urządzenia prowadzi do wstrzyknięcia poleceń, co może być zrealizowane zdalnie.
Zidentyfikowano podatność w onedev do wersji 15.0.5, która dotyczy funkcji canAccessIssue w pliku /issues/ komponentu Pull Request Handler. Manipulacja argumentem issue prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w theonedev do wersji 15.0.5, która dotyczy nieznanej części pliku /repositories/{projectId}/default-branch w komponencie REST API. Manipulacja argumentem project.defaultBranch prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w onedev do wersji 15.0.5, dotycząca nieznanej funkcjonalności pliku /projects/ w komponencie Parent Project Handler. Manipulacja argumentem project.parentId prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w theonedev do wersji 15.0.5, która dotyczy nieznanej funkcjonalności pliku /projects. Manipulacja argumentem project.forkedFromId prowadzi do niewłaściwej autoryzacji.
Wykryto podatność w Mage AI do wersji 0.9.79, która wpływa na funkcję useMutation w pliku mage_ai/frontend/components/Sessions/SignForm/index.tsx. Manipulacja argumentem query.redirect_url prowadzi do ataku typu cross-site scripting.
Zidentyfikowano słabość w Jinher OA C6, która dotyczy nieznanej funkcji w pliku /C6/JHSoft.Web.ModuleCount/GetFormSn.aspx. Manipulacja argumentem queryID może prowadzić do wstrzyknięcia SQL.
W aplikacji iAI Lab PDF AI App w wersji 4.21.0 na Androida odkryto lukę bezpieczeństwa w funkcji getExternalCacheDir komponentu chatpdf.pro. Manipulacja argumentem _display_name prowadzi do przejścia ścieżki.
Zidentyfikowano podatność w aplikacji vertex-app do wersji 2026.02.12, która dotyczy nieznanego przetwarzania pliku app/model/LogMod.js w komponencie Log Viewer Endpoint. Manipulacja argumentem req.query prowadzi do wstrzyknięcia poleceń systemowych.
W podatności CVE-2026-11406 zidentyfikowano problem w GL.iNet MT3000 do wersji 4.4.5, który dotyczy nieznanego kodu w pliku ovpnclient.sh komponentu OpenVPN Client Import Workflow. Wykorzystanie tej podatności prowadzi do wstrzyknięcia poleceń.
Wtyczka Photo Gallery by 10Web dla WordPressa jest podatna na atak typu SQL Injection oparty na czasie poprzez parametr 'compact_album_order_by' Shortcode. Problem dotyczy wszystkich wersji do 1.8.41 włącznie, z powodu niewystarczającego zabezpieczenia parametrów dostarczanych przez użytkownika.
Wtyczka WP Maps dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'location_messages' w wersjach do 4.9.4 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to atakującym z dostępem na poziomie administratora wstrzykiwanie dowolnych skryptów webowych na stronach.
Wtyczka Debug Log Manager dla WordPressa jest podatna na niewłaściwą neutralizację danych wyjściowych w logach we wszystkich wersjach do 2.5.0. Problem wynika z rejestracji handlera AJAX `log_js_errors()` dla nieautoryzowanych użytkowników, co pozwala na wstrzykiwanie fałszywych wpisów do logu debugowania.

