Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.
W MISP występowała podatność na otwarte przekierowanie w metodzie UsersController::routeafterlogin(), gdzie wartość klucza sesji pre_login_requested_url była używana jako cel przekierowania po logowaniu, bez odpowiedniego sprawdzenia, czy jest to lokalna ścieżka aplikacji.
W panelu MISP wystąpiła luka w walidacji URL, która pozwalała na zaakceptowanie zmanipulowanego URL-a jako lokalnej ścieżki, podczas gdy przeglądarki interpretowały go jako zewnętrzny URL. Luka ta umożliwiała atakującym tworzenie przycisków, które wydawały się prowadzić do aplikacji, ale przekierowywały użytkowników na kontrolowane przez nich strony.
W aplikacji MISP Event Template Importer wystąpiła luka autoryzacyjna w procesie nadpisywania szablonów wydarzeń. Użytkownik mógł nadpisać szablon należący do innej organizacji, nie będąc jej członkiem.
Problem z kontrolą widoczności w procesie tworzenia szablonów wydarzeń pozwalał użytkownikom, którzy nie są administratorami strony, na dostęp do prywatnych galaktyk należących do innych organizacji. Twórca szablonów wydarzeń ładował wszystkie włączone galaktyki bez stosowania ograniczeń dostępu opartych na organizacji lub dystrybucji.
Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).
W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.
WordPress Popup Builder w wersji 3.49 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez wyjście z tagów opcji w parametrze post_title.
WordPress Soliloquy Lite w wersji 2.5.6 zawiera podatność na trwałe skrypty między witrynami (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwych skryptów poprzez dodanie tagów skryptów w polu tytułu posta.
Motyw WordPress Zoner Real Estate w wersji 4.1.1 zawiera podatność na trwałe skrypty międzywitrynowe, która pozwala uwierzytelnionym agentom na wstrzykiwanie złośliwych skryptów przez pole adresu podczas tworzenia nieruchomości.
Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.
GigToDo w wersji 1.3 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala uwierzytelnionym atakującym na wstrzykiwanie złośliwego kodu JavaScript i HTML przez pole opisu propozycji.
Live Chat Unlimited w wersji 2.8.3 zawiera podatność na przechowywane skrypty międzywitrynowe (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów przez pole wejściowe czatu. Atakujący mogą przesyłać ładunki zawierające tagi skryptów i obsługiwane zdarzenia, które wykonują się w obszarze administracyjnym.
Wtyczka Contact Form by WD w wersji 1.13.1 zawiera podatność na atak typu cross-site request forgery (CSRF) połączoną z lokalnym dołączaniem plików. Umożliwia to nieautoryzowanym atakującym dołączanie dowolnych plików poprzez wykorzystanie niesanitizowanych parametrów akcji.
Zuz Music 2.1 zawiera podatność na trwałe ataki typu cross-site scripting (XSS), która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwego kodu JavaScript poprzez przesyłanie spreparowanych danych formularza kontaktowego. Kod skryptu może być wstrzykiwany przez parametry name, subject i message w żądaniach POST do /gmusic/zuzconsole/___contact.
Wykryto podatność w keystonejs do wersji 20260319, która dotyczy nieznanego kodu w pliku output-field.ts w komponentach GraphQL API Endpoint. Manipulacja tą podatnością prowadzi do nadmiernego zużycia zasobów.
HCL iControl jest podatny na lukę związaną z słabą walidacją wejścia. Problem ten wynika z nieprawidłowej implementacji taktyki bezpieczeństwa architektonicznego, gdzie otrzymane dane wejściowe nie są poprawnie weryfikowane pod kątem oczekiwanego typu.

