Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W systemie Creativeitem Mastery LMS w wersji 1.2 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem w pliku /browse. Atak można przeprowadzić zdalnie.
W systemie Creativeitem Academy LMS w wersji 5.15 zidentyfikowano podatność, która została oceniona jako problematyczna. Manipulacja argumentem sort_by w pliku /home/courses prowadzi do ataków typu cross-site scripting.
Fides to otwartoźródłowa platforma inżynierii prywatności, która jest podatna na atak typu Denial of Service (DoS). Atakujący mogą wykorzystać tę podatność do przesyłania złośliwych plików SVG, co prowadzi do wyczerpania zasobów w zakładkach przeglądarki Admin UI.
Fides to otwartoźródłowa platforma inżynierii prywatności, która jest podatna na atak typu Denial of Service (DoS) poprzez przesyłanie złośliwego pliku zip bomb. Wersje Fides od `2.11.0` do `2.15.1` są dotknięte tą podatnością, która wymaga podwyższonych uprawnień do wykorzystania.
Wtyczka WelcomeBot w Mattermost nie weryfikuje statusu członkostwa podczas zapraszania lub dodawania użytkowników do kanałów, co pozwala na domyślne dodawanie kont gości.
Mattermost nie usuwa załączników kart w Boards, co pozwala atakującemu na dostęp do usuniętych załączników.
Mattermost nieprawidłowo wyświetla informacje w interfejsie użytkownika, co pozwala administratorowi systemu na modyfikację stanu tablicy. Umożliwia to każdemu użytkownikowi z ważnym linkiem do udostępnienia dołączenie do tablicy z dostępem edytora, bez aktualizacji widocznych uprawnień w UI.
Mattermost nieprawidłowo sprawdza autoryzację dla żądania POST /api/v4/teams, gdy w żądaniu przekazywane jest ID schematu nadpisania zespołu. Umożliwia to uwierzytelnionemu atakującemu, który zna ID schematu nadpisania zespołu, stworzenie nowego zespołu z tym schematem.
Mattermost nieprawidłowo ogranicza żądania do localhost/intranet podczas interaktywnego dialogu, co może umożliwić atakującemu przeprowadzenie ograniczonego ślepego SSRF.
IBM Robotic Process Automation w wersjach od 21.0.0 do 21.0.7.6 oraz 23.0.0 do 23.0.6 jest podatny na obejście walidacji po stronie klienta, co może pozwolić na wprowadzenie nieprawidłowych zmian lub wartości w niektórych polach.
Wykryto podatność w layui do wersji 2.8.0-rc.16, która dotyczy nieznanej części komponentu HTML Attribute Handler. Manipulacja argumentem title prowadzi do ataku typu cross-site scripting.
W podatności CVE-2023-3685 w silniku wyszukiwania Nesote Inout Search Engine AI Edition 1.1 zidentyfikowano problem związany z manipulacją argumentem 'page' w pliku /index.php, co prowadzi do ataku typu cross-site scripting.
Wykryto podatność w LivelyWorks Articart 2.0.1, która dotyczy nieznanej funkcjonalności pliku /change-language/de_DE w komponencie Base64 Encoding Handler. Manipulacja argumentem redirectTo prowadzi do otwartego przekierowania.
W LivelyWorks Articart 2.0.1 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem search_term w pliku /items/search. Atak może być przeprowadzony zdalnie.
W aplikacji Campcodes Retro Cellphone Online Store 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 'description' w pliku /admin/modal_add_product.php. Atak może być przeprowadzony zdalnie.
Discourse to otwarta platforma dyskusyjna, która ma podatność umożliwiającą użytkownikom ominięcie walidacji tytułów tematów podczas ich edytowania. Problemy dotyczą długości tytułu, liczby emoji w tytule oraz pustych tytułów tematów.
Auto-GPT to eksperymentalna aplikacja open-source, która przed wersją 0.4.3 pozwalała złośliwym zasobom zewnętrznym na wywoływanie mylących komunikatów w konsoli poprzez wykorzystanie sekwencji ucieczki ANSI. Problem został naprawiony w wersji 0.4.3.
W systemie Campcodes Retro Cellphone Online Store w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem 'un' w pliku /admin/add_user_modal.php.
W systemie SourceCodester AC Repair and Services w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentami firstname/middlename w pliku admin/?page=user/manage_user.
W Gitlab CE/EE wystąpił problem z ujawnieniem informacji, który dotyczy wszystkich wersji od 13.6 do przed 15.11.10, od 16.0 do przed 16.0.6 oraz od 16.1 do przed 16.1.1. Problem polega na tym, że logi Sidekiq zawierały tokeny webhooków, gdy format logu był ustawiony na 'default'.

