Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W panelach internetowych serii WP 6xxx firmy PHOENIX CONTACT w wersjach przed 4.0.10, uwierzytelniony zdalny atakujący z uprawnieniami administratora może odczytać zakodowane klucze kryptograficzne, co pozwala mu na tworzenie ważnych ciasteczek sesyjnych.
Produkty FFRI yarai oraz ich wersje OEM niewłaściwie obsługują wyjątkowe warunki, co może prowadzić do stanu odmowy usługi (DoS). Dotyczy to wielu wersji FFRI yarai oraz powiązanych produktów.
Dangerzone to oprogramowanie do konwertowania potencjalnie niebezpiecznych plików na bezpieczne PDF-y. W wersjach przed 0.4.2, jeśli kontener jest skompromitowany, atakujący może wprowadzać fałszywe komunikaty w terminalu użytkownika lub zmieniać tytuł okna.
Zidentyfikowano podatność w aplikacjach Parasolid i Teamcenter Visualization, która dotyczy wersji wcześniejszych niż określone. Problem polega na wyczerpaniu stosu podczas analizy specjalnie przygotowanego pliku X_T, co może prowadzić do awarii usługi.
Zidentyfikowano podatność w aplikacjach Parasolid i Teamcenter Visualization, która występuje w wersjach wcześniejszych niż określone. Problem polega na dereferencji wskaźnika null podczas analizy specjalnie przygotowanych plików X_T, co może umożliwić atakującemu wykonanie kodu w kontekście bieżącego procesu.
ImageMagick w wersjach przed 6.9.12-91 pozwala atakującym na spowodowanie odmowy usługi (zużycie pamięci) w Magick::Draw.
W wyniku braku weryfikacji uwierzytelnienia w SAP Host Agent w wersji 7.22, nieautoryzowany atakujący może ustawić nieudokumentowany parametr na określoną wartość zgodności i wywołać funkcje odczytu. Umożliwia to atakującemu zbieranie niektórych niesensytywnych informacji o serwerze.
W podatności w EmpowerID do wersji 7.205.0.0 zidentyfikowano problematyczny błąd w obsłudze kodów uwierzytelniania wieloskładnikowego, który prowadzi do ujawnienia informacji. Atak jest skomplikowany i trudny do przeprowadzenia.
Wykryto podatność w mooSocial mooTravel w wersji 3.1.8, która została sklasyfikowana jako problematyczna. Manipulacja prowadzi do ataku typu cross site scripting.
Wykryto podatność w mooSocial mooStore w wersji 3.1.6, która prowadzi do ataków typu cross site scripting. Atakujący może zdalnie manipulować nieznaną funkcjonalnością aplikacji.
W mooSocial mooStore w wersji 3.1.6 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem q w pliku /search/index.
W DedeBIZ 6.2.10 zidentyfikowano podatność, która została oceniona jako problematyczna. Dotyczy ona nieznanej funkcjonalności komponentu Article Handler i prowadzi do ataków typu cross site scripting.
Wykryto podatność w Media Browser Emby Server 4.7.13.0, która prowadzi do ataków typu cross site scripting. Problem dotyczy nieznanego przetwarzania pliku /web/ i może być wykorzystany zdalnie.
W wersjach przed 1.0.1, matrix-appservice-irc umożliwiało stworzenie zdarzenia, które mogło ujawniać część wiadomości z innego połączonego pokoju. Wymagało to jednak znajomości identyfikatora zdarzenia, które miało być celem.
Brak ochrony przed atakami typu Brute-Force w systemie CODESYS Development System przed wersją 3.5.19.20 umożliwia lokalnemu atakującemu nieograniczone próby odgadnięcia hasła w oknie dialogowym importu.
W Cute Http File Server 2.0 odkryto podatność, która została sklasyfikowana jako problematyczna. Dotyczy ona nieznanej części komponentu wyszukiwania i prowadzi do ataków typu cross site scripting.
W PHP Jabbers Availability Booking Calendar w wersji 5.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem session_id w pliku /index.php.
Aplikacja BluetensQ dla urządzenia do elektrostymulacji Bluetens w wersji 4.3.15 jest podatna na ataki typu Man-in-the-Middle w kanale BLE. Umożliwia to atakującym przejęcie komunikacji BLE i zmianę intensywności stymulatora.
Podatność CVE-2023-4016 pozwala użytkownikowi, który ma dostęp do uruchomienia narzędzia 'ps' na maszynie, na zapisanie niemal nieograniczonej ilości nieprzefiltrowanych danych do sterty procesu.
Nieinicjalizowany bufor w parserze GBL w Silicon Labs GSDK w wersji 4.3.0 i wcześniejszych umożliwia atakującemu wyciek danych z bezpiecznego stosu poprzez źle sformatowany plik GBL.

