Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2023-3035
Niskie

W systemie biurowym Guangdong Pythagorean OA do wersji 4.50.31 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności komponentu Schedule Handler. Manipulacja argumentem 'description' prowadzi do ataku typu cross site scripting.

CVE-2023-3017
Niskie

W systemie SourceCodester Lost and Found Information System 1.0 zidentyfikowano podatność, która umożliwia podstawowe ataki typu cross site scripting poprzez manipulację argumentami Imię/Drugie Imię/Nazwisko na stronie zarządzania użytkownikami.

CVE-2023-3016
Niskie

Wykryto podatność w yiwent Vip Video Analysis 1.0, która dotyczy nieznanej funkcjonalności pliku admin/admincore.php. Manipulacja prowadzi do ataku typu cross site scripting (XSS), który może być przeprowadzony zdalnie.

CVE-2023-3014
Niskie

Wykryto podatność w BeipyVideoResolution do wersji 2.6, która umożliwia atak typu cross site scripting poprzez manipulację w nieznanej funkcji pliku admin/admincore.php.

CVE-2023-3005
Niskie

W systemie zarządzania wyszukiwarką lokalnych usług SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross-site scripting (XSS) poprzez manipulację parametrem POST w pliku /admin/ajax.php. Wprowadzenie złośliwego skryptu, takiego jak <script>alert(document.cookie)</script>, może prowadzić do nieautoryzowanego dostępu do danych użytkownika.

CVE-2023-33183
Niskie

Aplikacja Kalendarz dla Nextcloud ujawnia niektóre wewnętrzne ścieżki strony, gdy serwer SMTP jest niedostępny. Zaleca się aktualizację aplikacji Kalendarz do wersji 3.5.5 lub 4.2.3.

CVE-2023-33184
Niskie

Nextcloud Mail to aplikacja pocztowa w Nextcloud, która jest podatna na atak typu blind SSRF. Atak ten umożliwia wysyłanie żądań GET do usług działających na tym samym serwerze WWW.

CVE-2023-33194
Niskie

Craft to system zarządzania treścią (CMS) do tworzenia niestandardowych doświadczeń cyfrowych w sieci. Platforma nie filtruje danych wejściowych i nie koduje danych wyjściowych w komunikacie o błędzie walidacji Quick Post, co może prowadzić do ataku XSS.

CVE-2023-33947
Niskie

Moduł obiektów w Liferay Portal w wersjach od 7.4.3.4 do 7.4.3.60 oraz Liferay DXP 7.4 przed aktualizacją 61 nie segmentuje definicji obiektów według wirtualnej instancji w wyszukiwaniach. Umożliwia to zdalnym, uwierzytelnionym użytkownikom w jednej wirtualnej instancji przeglądanie definicji obiektów z drugiej wirtualnej instancji.

CVE-2023-33946
Niskie

Moduł Object w Liferay Portal w wersjach 7.4.3.4 do 7.4.3.48 oraz Liferay DXP 7.4 przed aktualizacją 49 nie izoluje poprawnie obiektów w różnych instancjach wirtualnych. Umożliwia to zdalnym uwierzytelnionym użytkownikom w jednej instancji wirtualnej przeglądanie obiektów w innej instancji wirtualnej za pośrednictwem strony administracyjnej zakresu OAuth 2.

CVE-2023-32994
Niskie

Wtyczka Jenkins SAML Single Sign On (SSO) w wersji 2.1.0 i wcześniejszych bezwarunkowo wyłącza walidację certyfikatów SSL/TLS dla połączeń z miniOrange lub skonfigurowanym IdP w celu pobrania metadanych SAML.

CVE-2022-21535
Niskie

Podatność w produkcie MySQL Shell firmy Oracle MySQL (komponent: Shell: General/Core Client) dotyczy wersji 8.0.28 i wcześniejszych. Umożliwia nieautoryzowanemu atakującemu, który ma dostęp do infrastruktury, w której działa MySQL Shell, kompromitację tego narzędzia, wymagając jednocześnie interakcji ze strony innej osoby.

CVE-2021-36368
Niskie

W OpenSSH przed wersją 8.9 odkryto problem związany z uwierzytelnianiem kluczem publicznym przy użyciu przekazywania agenta. Jeśli atakujący zmodyfikował serwer, aby wspierał opcję uwierzytelniania None, użytkownik nie może określić, czy uwierzytelnienie FIDO potwierdza chęć połączenia z serwerem, czy też pozwala temu serwerowi na połączenie z innym serwerem w imieniu użytkownika.

CVE-2020-8562
Niskie

Podatność CVE-2020-8562 dotyczy mechanizmu w Kubernetes, który ma na celu zapobieganie dostępowi do sieci lokalnych i localhost przez połączenia proxy. W wyniku błędu w walidacji odpowiedzi DNS, użytkownik może ominąć te ograniczenia i uzyskać dostęp do prywatnych sieci w kontrolerze.

CVE-2021-39911
Niskie

Wszystkie wersje GitLab CE/EE od 13.9 do 14.2.6, od 14.3 do 14.3.4 oraz od 14.4 do 14.4.1 mają lukę w kontroli dostępu, która ujawnia prywatne adresy e-mail przypisanych do zgłoszeń i żądań scalania konsumentom danych Webhook.

CVE-2021-25740
Niskie

W Kubernetes odkryto problem bezpieczeństwa, który może umożliwić użytkownikom wysyłanie ruchu sieciowego do lokalizacji, do których normalnie nie mieliby dostępu, poprzez atak 'confused deputy'.

CVE-2021-38365
NiskieEPSS 63%

Podatność w głośnikach biurkowych Winner (ToneWinner) do 9 sierpnia 2021 roku umożliwia zdalnym atakującym odzyskanie sygnałów mowy z diody LED wskaźnika zasilania za pomocą teleskopu i czujnika elektrooptycznego, co jest znane jako atak 'Glowworm'.

CVE-2020-9488
Niskie

W Apache Log4j SMTP appender występuje niewłaściwa walidacja certyfikatu w przypadku niezgodności hosta. Może to umożliwić przechwycenie połączenia SMTPS przez atak typu man-in-the-middle, co może prowadzić do ujawnienia wszelkich wiadomości logów przesyłanych przez ten appender.

CVE-2000-0503
NiskieEPSS 95%

IFRAME kontrolki WebBrowser w Internet Explorer 5.01 umożliwia zdalnemu atakującemu naruszenie polityki bezpieczeństwa między ramkami poprzez zdarzenie NavigateComplete2.

CVE-2000-0518
NiskieEPSS 91%

Internet Explorer 4.x i 5.x nie weryfikuje poprawnie wszystkich treści certyfikatu SSL, gdy połączenie jest nawiązywane z serwerem za pośrednictwem obrazu lub ramki. Jest to jedna z dwóch różnych podatności związanych z 'Weryfikacją certyfikatu SSL'.

PoprzedniaStrona 36 z 63Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS