Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W systemie biurowym Guangdong Pythagorean OA do wersji 4.50.31 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności komponentu Schedule Handler. Manipulacja argumentem 'description' prowadzi do ataku typu cross site scripting.
W systemie SourceCodester Lost and Found Information System 1.0 zidentyfikowano podatność, która umożliwia podstawowe ataki typu cross site scripting poprzez manipulację argumentami Imię/Drugie Imię/Nazwisko na stronie zarządzania użytkownikami.
Wykryto podatność w yiwent Vip Video Analysis 1.0, która dotyczy nieznanej funkcjonalności pliku admin/admincore.php. Manipulacja prowadzi do ataku typu cross site scripting (XSS), który może być przeprowadzony zdalnie.
Wykryto podatność w BeipyVideoResolution do wersji 2.6, która umożliwia atak typu cross site scripting poprzez manipulację w nieznanej funkcji pliku admin/admincore.php.
W systemie zarządzania wyszukiwarką lokalnych usług SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację parametrem POST w pliku /admin/ajax.php. Wprowadzenie złośliwego skryptu, takiego jak <script>alert(document.cookie)</script>, może prowadzić do nieautoryzowanego dostępu do danych użytkownika.
Aplikacja Kalendarz dla Nextcloud ujawnia niektóre wewnętrzne ścieżki strony, gdy serwer SMTP jest niedostępny. Zaleca się aktualizację aplikacji Kalendarz do wersji 3.5.5 lub 4.2.3.
Nextcloud Mail to aplikacja pocztowa w Nextcloud, która jest podatna na atak typu blind SSRF. Atak ten umożliwia wysyłanie żądań GET do usług działających na tym samym serwerze WWW.
Craft to system zarządzania treścią (CMS) do tworzenia niestandardowych doświadczeń cyfrowych w sieci. Platforma nie filtruje danych wejściowych i nie koduje danych wyjściowych w komunikacie o błędzie walidacji Quick Post, co może prowadzić do ataku XSS.
Moduł obiektów w Liferay Portal w wersjach od 7.4.3.4 do 7.4.3.60 oraz Liferay DXP 7.4 przed aktualizacją 61 nie segmentuje definicji obiektów według wirtualnej instancji w wyszukiwaniach. Umożliwia to zdalnym, uwierzytelnionym użytkownikom w jednej wirtualnej instancji przeglądanie definicji obiektów z drugiej wirtualnej instancji.
Moduł Object w Liferay Portal w wersjach 7.4.3.4 do 7.4.3.48 oraz Liferay DXP 7.4 przed aktualizacją 49 nie izoluje poprawnie obiektów w różnych instancjach wirtualnych. Umożliwia to zdalnym uwierzytelnionym użytkownikom w jednej instancji wirtualnej przeglądanie obiektów w innej instancji wirtualnej za pośrednictwem strony administracyjnej zakresu OAuth 2.
Wtyczka Jenkins SAML Single Sign On (SSO) w wersji 2.1.0 i wcześniejszych bezwarunkowo wyłącza walidację certyfikatów SSL/TLS dla połączeń z miniOrange lub skonfigurowanym IdP w celu pobrania metadanych SAML.
Podatność w produkcie MySQL Shell firmy Oracle MySQL (komponent: Shell: General/Core Client) dotyczy wersji 8.0.28 i wcześniejszych. Umożliwia nieautoryzowanemu atakującemu, który ma dostęp do infrastruktury, w której działa MySQL Shell, kompromitację tego narzędzia, wymagając jednocześnie interakcji ze strony innej osoby.
W OpenSSH przed wersją 8.9 odkryto problem związany z uwierzytelnianiem kluczem publicznym przy użyciu przekazywania agenta. Jeśli atakujący zmodyfikował serwer, aby wspierał opcję uwierzytelniania None, użytkownik nie może określić, czy uwierzytelnienie FIDO potwierdza chęć połączenia z serwerem, czy też pozwala temu serwerowi na połączenie z innym serwerem w imieniu użytkownika.
Podatność CVE-2020-8562 dotyczy mechanizmu w Kubernetes, który ma na celu zapobieganie dostępowi do sieci lokalnych i localhost przez połączenia proxy. W wyniku błędu w walidacji odpowiedzi DNS, użytkownik może ominąć te ograniczenia i uzyskać dostęp do prywatnych sieci w kontrolerze.
Wszystkie wersje GitLab CE/EE od 13.9 do 14.2.6, od 14.3 do 14.3.4 oraz od 14.4 do 14.4.1 mają lukę w kontroli dostępu, która ujawnia prywatne adresy e-mail przypisanych do zgłoszeń i żądań scalania konsumentom danych Webhook.
W Kubernetes odkryto problem bezpieczeństwa, który może umożliwić użytkownikom wysyłanie ruchu sieciowego do lokalizacji, do których normalnie nie mieliby dostępu, poprzez atak 'confused deputy'.
Podatność w głośnikach biurkowych Winner (ToneWinner) do 9 sierpnia 2021 roku umożliwia zdalnym atakującym odzyskanie sygnałów mowy z diody LED wskaźnika zasilania za pomocą teleskopu i czujnika elektrooptycznego, co jest znane jako atak 'Glowworm'.
W Apache Log4j SMTP appender występuje niewłaściwa walidacja certyfikatu w przypadku niezgodności hosta. Może to umożliwić przechwycenie połączenia SMTPS przez atak typu man-in-the-middle, co może prowadzić do ujawnienia wszelkich wiadomości logów przesyłanych przez ten appender.
IFRAME kontrolki WebBrowser w Internet Explorer 5.01 umożliwia zdalnemu atakującemu naruszenie polityki bezpieczeństwa między ramkami poprzez zdarzenie NavigateComplete2.
Internet Explorer 4.x i 5.x nie weryfikuje poprawnie wszystkich treści certyfikatu SSL, gdy połączenie jest nawiązywane z serwerem za pośrednictwem obrazu lub ramki. Jest to jedna z dwóch różnych podatności związanych z 'Weryfikacją certyfikatu SSL'.

