Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Brak sprawdzenia alokacji w serwerze SFTP podczas przetwarzania żądań odczytu może prowadzić do dereferencji NULL w warunkach niskiej pamięci. Złośliwy klient może zażądać odczytów SFTP do 4 GB, co może spowodować alokację buforów do 4 GB bez sprawdzenia błędów.
Wykryto podatność w y_project RuoYi do wersji 4.7.7, która dotyczy funkcji uploadFilesPath komponentu File Upload. Manipulacja argumentem originalFilenames prowadzi do ataków typu cross site scripting.
W systemie monitorowania i ostrzegania przed powodziami w Chengdu 2.0 zidentyfikowano podatność, która dotyczy nieznanej części pliku /Service/ImageStationDataService.asmx. Manipulacja tą częścią prowadzi do niewystarczająco losowych wartości.
W EasyAdmin8 w wersji 2.0.2.2 zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie plików. Problem dotyczy nieznanej funkcji w pliku /admin/index/index.html#/admin/mall.goods/index.html modułu przesyłania plików.
W platformie inwestycyjnej ChainCity Real Estate w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem 'subject' w pliku /chaincity/user/ticket/create. Atak można przeprowadzić zdalnie.
W Boom CMS w wersji 8.0.7 zidentyfikowano podatność, która dotyczy funkcji add komponentu assets-manager. Manipulacja argumentami title/description prowadzi do ataków typu cross site scripting.
W PaulPrinting CMS 2018 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 's' w pliku /account/delivery komponentu Search. Atak można przeprowadzić zdalnie.
W ActiveITzone Active Super Shop CMS 2.5 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami name, phone oraz address na stronie zarządzania szczegółami. Atak może być przeprowadzony zdalnie.
Wykryto podatność w Codecanyon Tiva Events Calender 1.4, która umożliwia atak typu cross site scripting poprzez manipulację argumentem nazwy. Atak może być przeprowadzony zdalnie.
W PaulPrinting CMS 2018 odkryto podatność, która została oceniona jako problematyczna. Manipulacja argumentami firstname/lastname/address/city/state prowadzi do ataków typu cross-site scripting.
W Dooblou WiFi File Explorer w wersji 1.13.3 zidentyfikowano podatność, która prowadzi do ataków typu cross-site scripting (XSS) poprzez manipulację argumentami search, order, download lub mode. Atak może być przeprowadzony zdalnie.
Wykryto podatność w Webile 1.0.1, klasyfikowaną jako problematyczną. Dotyczy to nieznanej funkcji komponentu HTTP POST Request Handler, gdzie manipulacja argumentem new_file_name/c prowadzi do ataku typu cross site scripting.
W wersjach HashiCorp Nomad Enterprise od 1.2.11 do 1.5.6 oraz 1.4.10, polityki ACL używające bloku bez etykiety generują nieoczekiwane wyniki. Problem został naprawiony w wersjach 1.6.0, 1.5.7 oraz 1.4.11.
Wykryto błąd w weryfikatorze attestation Keylime, który nie oznacza urządzenia jako nieufnego, gdy podpis TPM quote nie jest poprawny. Zamiast tego, błąd jest jedynie rejestrowany w logach.
Wykryto podatność w Intergard SGS 8.7.0, która dotyczy nieznanego kodu komponentu SQL Query Handler. Manipulacja prowadzi do przesyłania wrażliwych informacji w postaci niezaszyfrowanej.
Wykryto podatność w Intergard SGS 8.7.0, która dotyczy nieznanej funkcjonalności komponentu Password Change Handler. Manipulacja prowadzi do przesyłania wrażliwych informacji w postaci niezaszyfrowanej.
W GZ Scripts Car Rental Script w wersji 1.8 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami w pliku /EventBookingCalendar/load.php. Atakujący może zdalnie wykorzystać tę lukę, wprowadzając złośliwe dane w polach first_name, second_name, phone, address_1 oraz country.
Wykryto podatność w Creativeitem Atlas Business Directory Listing w wersji 2.13, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację argumentem search_string w pliku /home/search.
Wykryto podatność w Creativeitem Atlas Business Directory Listing w wersji 2.13, która pozwala na atak typu cross site scripting poprzez manipulację argumentem price-range w pliku /home/filter_listings.
W systemie Creativeitem Ekushey Project Manager CRM 5.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem message w pliku /index.php/client/message/message_read/xxxxxxxx[random-msg-hash].

