Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Japanized For WooCommerce w wersji 2.9.12 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka Business Directory w wersji 6.4.23 i starszych zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji administracyjnych bez wymaganego uwierzytelnienia.
Wtyczka Ads by WPQuads w wersji 3.0.3 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Oznacza to, że użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji reklamowych.
Wtyczka WP User Frontend w wersjach do 4.3.7 zawiera lukę umożliwiającą nieuwierzytelnionym atakującym ominięcie kontroli dostępu. Podatność ta pozwala na nieautoryzowany dostęp do funkcji przeznaczonych dla zalogowanych użytkowników.
Podatność Cross Site Scripting (XSS) wtyczki MasterStudy LMS w wersji 3.7.27 i starszych umożliwia atakującemu o roli subskrybenta wstrzyknięcie złośliwego skryptu. Może to prowadzić do kradzieży sesji lub przekierowania użytkownika na niebezpieczną stronę.
Wtyczka WooCommerce Designer Pro w wersji 1.9.34 i starszych zawiera podatność na atak typu Cross Site Scripting (XSS) z poziomu subskrybenta. Umożliwia ona atakującemu z rolą subskrybenta wstrzyknięcie złośliwego kodu JavaScript do strony.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na atak XSS (Cross Site Scripting) z poziomu subskrybenta. Umożliwia ona wstrzyknięcie złośliwego kodu JavaScript przez uwierzytelnionego użytkownika o roli subskrybenta.
Wtyczka MainWP dla WordPressa w wersji 6.1.1 i starszych zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla administratorów.
Wtyczka Business Directory w wersji 6.4.22 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Atakujący może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Claude Code w wersjach od 2.1.59 do 2.1.128 zapisuje odpowiedzi z komendy /copy do pliku /tmp/claude/response.md bez izolacji UID, losowości ani ochrony przed dowiązaniami symbolicznymi. Plik jest tworzony z uprawnieniami 0644 w katalogu o uprawnieniach 0755, co umożliwia każdemu lokalnemu użytkownikowi odczytanie odpowiedzi zawierających potencjalnie wrażliwe dane.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /patientchangepassword.php. Poprzez manipulację argumentem newpassword atakujący może zdalnie wykonać nieautoryzowane zapytania do bazy danych. Exploit został opublikowany, co zwiększa ryzyko ataków.
W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /patientdetail.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany publicznie.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /insertbillingrecord.php. Atakujący może zdalnie manipulować argumentem patientid, co prowadzi do wstrzyknięcia SQL. Exploit został ujawniony publicznie.
W systemie SourceCodester Simple Food Ordering System 1.0 wykryto podatność w pliku /cart.php. Manipulacja argumentem item_price może prowadzić do błędów logiki biznesowej. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.
Podatność w HCL DevOps Deploy / HCL Launch umożliwia ujawnienie wrażliwych informacji w logach wyjściowych. Atakujący mający dostęp do logów może potencjalnie uzyskać poufne wartości związane z danym krokiem.
W bibliotece ACL przed wersją 2.4.0 wykryto podatność typu TOCTOU (time-of-check time-of-use), która umożliwia lokalnemu atakującemu eskalację uprawnień poprzez podmianę składnika ścieżki na dowiązanie symboliczne między sprawdzeniem lstat() a kolejnymi operacjami podążającymi za dowiązaniami, takimi jak stat(), chown(), chmod(), acl_get_file() i acl_set_file(). Atakujący kontrolujący składnik ścieżki może przekierować operacje na listy kontroli dostępu do plików na dowolne pliki, gdy getfacl, setfacl lub chacl jest wywoływane przez uprzywilejowany proces na ścieżce kontrolowanej przez atakującego, co prowadzi do lokalnej eskalacji uprawnień.
W systemie EyouCMS do wersji 1.7.1 wykryto podatność SQL Injection w pliku /index.php komponentu API. Atakujący może zdalnie manipulować argumentem click_like, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony i może być wykorzystany.
W projekcie code-projects Online Music Site 1.0 odkryto podatność na atak XSS w pliku /Frontend/Feedback.php. Manipulacja argumentami fname, femail, faddress lub fmessage umożliwia zdalne wstrzyknięcie złośliwego skryptu.
Podatność w punkcie końcowym /v1/upload/sbom pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie fałszywych wpisów do logów poprzez manipulację polem iss w tokenie JWT. Ze względu na wyłączoną weryfikację podpisu JWT oraz dosłowne renderowanie znaków nowej linii w formacie logów, atakujący może wygenerować wpisy identyczne z autentycznymi komunikatami o pomyślnym uwierzytelnieniu.
GNU gzip zawiera podatność w narzędziu gzexe związaną z niebezpiecznym tworzeniem plików tymczasowych. Gdy narzędzie mktemp nie jest dostępne w ścieżce PATH użytkownika, gzexe tworzy plik tymczasowy o przewidywalnej nazwie opartej wyłącznie na PID procesu, bez sprawdzania jego istnienia lub wyłączności dostępu. Lokalny atakujący może wcześniej utworzyć tę ścieżkę jako dowiązanie symboliczne do dowolnego pliku zapisywalnego przez ofiarę, co prowadzi do nadpisania pliku w wyniku warunku TOCTOU.

