Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Kargo zarządza i automatyzuje promocję artefaktów oprogramowania. W wersjach od 1.7.0 do przed v1.7.8, v1.8.11 i v1.9.3, punkty końcowe tworzenia zasobów wsadowych w API gRPC oraz REST Kargo akceptują wielodokumentowe ładunki YAML, co może prowadzić do wstrzykiwania dowolnych zasobów do istniejącego projektu.
W bibliotece fast-xml-parser w wersjach od 4.1.3 do 5.3.5 kropka (.) w nazwie encji DOCTYPE jest traktowana jako wieloznacznik regex, co pozwala atakującemu na zastąpienie wbudowanych encji XML (<, >, &, ", ') dowolnymi wartościami. To omija kodowanie encji i prowadzi do podatności na XSS, gdy przetworzone dane są renderowane.
PROLiNK PRC2402M w wersjach przed 2021-06-13 umożliwia wstrzyknięcie poleceń systemowych poprzez metaznaki powłoki w parametrze ip (dla satellite_status) w pliku live_api.cgi?page=satellite_list.
Fiverr Clone Script w wersji 1.2.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL w parametrze 'page'. Atakujący mogą dostarczyć złośliwą składnię SQL, aby uzyskać dostęp do wrażliwych informacji w bazie danych lub zmodyfikować jej zawartość.
W wersji 2.2.0.4 Owl opds występuje podatność na wstrzykiwanie poleceń z powodu niewłaściwego neutralizowania specjalnych elementów w komendach. Atakujący może wykorzystać spreparowane żądanie sieciowe do wykonania nieautoryzowanych poleceń.
W aplikacji Monica w wersji 4.1.2 występuje podatność na zatrucie nagłówka Host z powodu niewłaściwego przetwarzania nagłówka HTTP Host w pliku app/Providers/AppServiceProvider.php. Domyślna konfiguracja, w której 'app.force_url' nie jest ustawione, umożliwia atakującym manipulację linkami do resetowania hasła.
W systemie edu Business Solutions Print Shop Pro WebDesk w wersji 18.34 (naprawione w 19.76) występuje problem, który pozwala zdalnemu atakującemu na eskalację uprawnień za pomocą parametru AccessID.
W oprogramowaniu Global Facilities Management firmy Key Systems Inc w wersji 20230721a występuje problem, który pozwala zdalnemu atakującemu na eskalację uprawnień poprzez komponent PIN w funkcjonalności logowania.
W wersji 2.2.0.4 Owl opds występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach, co umożliwia atak typu Command Injection poprzez odpowiednio skonstruowane żądanie sieciowe.
Interfejs zarządzania urządzeniem pozwala na ustawienie pustych wartości dla nazwy użytkownika i hasła administratora. Po zastosowaniu tych ustawień, urządzenie umożliwia autoryzację z pustymi danymi uwierzytelniającymi zarówno w interfejsie webowym, jak i usłudze Telnet.
Podatność CVE-2025-70833 w Smanga 3.2.7 pozwala nieautoryzowanemu atakującemu na zresetowanie hasła dowolnego użytkownika, w tym administratora, poprzez manipulację parametrami POST. Problem wynika z niewłaściwej walidacji uprawnień w pliku check-power.php.
Wtyczka Shahjada Download Manager Addons dla Elementor zawiera podatność na SQL Injection, która umożliwia przeprowadzenie ataku typu Blind SQL Injection. Problem dotyczy wersji wtyczki od n/a do 1.3.0.
Podatność CVE-2026-22384 dotyczy deserializacji niezaufanych danych w wtyczce Applay - Shortcodes, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 3.7 włącznie.
W aplikacji Smanga w wersji 3.2.7 odkryto podatność na zdalne wykonanie kodu (RCE) w interfejsie /php/path/rescan.php. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane przez użytkownika w parametrze mediaId, co pozwala na wstrzyknięcie dowolnych poleceń systemowych.
Podatność CVE-2025-69405 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Lorem Ipsum | Books & Media Store, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.2.11 włącznie.
Podatność CVE-2025-69404 dotyczy deserializacji niezaufanych danych w ThemeREX Extreme Store, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Extreme Store od n/a do 1.5.10 włącznie.
Podatność CVE-2025-69403 dotyczy Bravis Addons, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 1.3.0 włącznie.
Podatność CVE-2025-69382 dotyczy deserializacji niezaufanych danych w motywach Themesflat Elementor, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 1.0.1 włącznie.
Podatność na deserializację niezaufanych danych w motywie SevenHills od AncoraThemes umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji SevenHills od n/a do 1.6.2 włącznie.
Podatność CVE-2025-69371 dotyczy deserializacji niezaufanych danych w wtyczce KindlyCare od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji KindlyCare od n/a do 1.6.1 włącznie.

