Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W aplikacji CodeAstro Ecommerce Website 1.0 znaleziono podatność SQL Injection w pliku /ecommerce-website-php/customer/my_account.php?edit_account. Manipulacja argumentem c_name umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został ujawniony publicznie.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /patient.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany i może być wykorzystany.
W systemie Ecommerce-CodeIgniter-Bootstrap do wersji 213babdbaa949e94557246414db0130e01394517 wykryto podatność na atak XSS w funkcji checkForPostRequests pliku application/core/MY_Controller.php. Manipulacja argumentem User-Agent umożliwia zdalne wykonanie skryptu przez atakującego.
W bibliotece Ecommerce-CodeIgniter-Bootstrap do wersji 49b20f53 stwierdzono podatność na atak XSS w ukrytym punkcie końcowym REST API. Manipulacja argumentami title/description w pliku /index.php/api/product/set umożliwia zdalne wykonanie skryptów krzyżowych. Exploit został publicznie ujawniony i może być wykorzystany.
W bibliotece Ecommerce-CodeIgniter-Bootstrap do wersji 95dfa8cebbb87ab46ae450643a07241274a74dce wykryto podatność polegającą na otwartym przekierowaniu. Funkcja setReferrer w pliku application/core/MY_Controller.php nieprawidłowo waliduje argument href, co umożliwia atakującemu przekierowanie użytkownika na zewnętrzną, złośliwą stronę. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.
Wykryto podatność w projekcie NousResearch hermes-agent do wersji 0.15.2. Problem dotyczy funkcji DiscordAdapter._is_allowed_user w pliku gateway/platforms/discord.py, co prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.
W projekcie NousResearch hermes-agent do wersji 2026.4.30 wykryto słabość w funkcji AIAgent.run_conversation w pliku run_agent.py komponentu HTTP API. Manipulacja argumentem todos prowadzi do odmowy usługi (DoS). Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W bibliotece NousResearch hermes-agent do wersji 0.15.2 wykryto lukę bezpieczeństwa w funkcji shell.exec w pliku tui_gateway/server.py. Problem polega na obejściu mechanizmów ochronnych, co umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany i może być wykorzystywany w rzeczywistych atakach.
W projekcie omec-project amf do wersji 2.0.2/2.1.1 wykryto podatność w funkcji obsługi żądania NGSetupRequest w pliku handler.go. Manipulacja tą funkcją prowadzi do odmowy usługi (DoS). Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /medicine.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany i może być wykorzystany.
W komponencie AMF projektu Open5GS do wersji 2.7.7 wykryto podatność na atak DoS. Funkcja amf_nnrf_handle_nf_discover w pliku src/amf/nnrf-handler.c może zostać wykorzystana zdalnie do wywołania odmowy usługi. Exploit jest publicznie dostępny.
Podatność w Microsoft Edge dla systemu Android umożliwia nieautoryzowanemu atakującemu ominięcie funkcji zabezpieczającej przez sieć. Problem wynika z nieprawidłowej kontroli dostępu w przeglądarce.
W przeglądarce Microsoft Edge (opartej na Chromium) wykryto podatność polegającą na niewystarczającym ostrzeganiu użytkownika przed niebezpiecznymi operacjami. Umożliwia ona nieautoryzowanemu atakującemu przeprowadzenie ataku typu spoofing (fałszowanie) w sieci.
Podatność w przeglądarce Microsoft Edge (opartej na Chromium) polega na operacji na zasobie po jego wygaśnięciu lub zwolnieniu. Umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.
Podatność typu Server-Side Request Forgery (SSRF) w przeglądarce Microsoft Edge (opartej na Chromium) umożliwia nieautoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu (spoofing) w sieci.
Podatność w przeglądarce Microsoft Edge (opartej na Chromium) umożliwia ataki typu spoofing, polegające na fałszowaniu interfejsu użytkownika. Atakujący może wykorzystać tę lukę do wyświetlenia fałszywej treści w pasku adresu lub innych elementach przeglądarki, co może wprowadzić użytkownika w błąd.
Podatność w przeglądarce Microsoft Edge (opartej na Chromium) umożliwia atakującemu fałszowanie interfejsu użytkownika, co może prowadzić do oszustwa sieciowego. Luka wynika z błędnego przedstawiania krytycznych informacji w interfejsie użytkownika.
Podatność w Gitea do wersji 1.26.2 włącznie umożliwia pominięcie kontroli zakresu tokenów API w punktach końcowych kanałów RSS i Atom repozytorium. Skutkuje to ujawnieniem danych commitów z prywatnych repozytoriów tokenom, które nie mają wymaganego zakresu dostępu do repozytorium.
Podatność w Gitea do wersji 1.26.1 włącznie powoduje niespójne filtrowanie tokenów publicznych w API organizacji użytkownika, co pozostawia niekompletną poprawkę dla CVE-2025-68941.
W systemie SourceCodester CET Automated Grading System z AI Predictive Analytics 1.0 wykryto podatność na fiksację sesji. Problem wynika z nieprawidłowego przetwarzania danych, co pozwala atakującemu na narzucenie sesji użytkownikowi. Atak jest zdalny, ale wymaga wysokiego poziomu złożoności i jest oceniany jako trudny do wykorzystania.

