Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie Online Examination 1.0 wykryto podatność na iniekcję SQL w pliku head.php poprzez manipulację argumentami uname/password. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
W systemie Internship Management System 1.0 od code-projects wykryto podatność SQL injection w pliku employer/login.php. Atakujący może zdalnie manipulować argumentami email/password w celu wstrzyknięcia złośliwego kodu SQL. Szczegóły exploita zostały publicznie ujawnione.
W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 znaleziono podatność SQL injection w funkcji save_client pliku classes/Users.php. Atakujący może zdalnie manipulować argumentem Name, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany.
W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 wykryto słabość w funkcji save_users pliku classes/Users.php, która prowadzi do nieprawidłowej autoryzacji. Podatność może być zdalnie wykorzystana, a exploit jest publicznie dostępny.
Podatność w bibliotece Crypt::DSA dla Perla przed wersją 1.22 powoduje, że generowane są niebezpieczne wartości nonce i klucza prywatnego DSA z powodu użycia tendencyjnego generatora liczb losowych. Atakujący, mając dostęp do kilku podpisów i klucza publicznego, może odzyskać klucz prywatny za pomocą ataku kratowego.
W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność SQL Injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem email, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
W systemie Online Job Portal 1.0 znaleziono podatność na wstrzyknięcie SQL w pliku login.php. Manipulacja argumentami txtUser lub txtPass umożliwia atakującemu zdalne wykonanie nieautoryzowanych zapytań do bazy danych. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 znaleziono podatność SQL Injection w pliku /admin/girlsproductdeletequery.php. Atakujący może zdalnie manipulować argumentem user_id, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 wykryto podatność SQL injection w pliku /admin/mensproductdeletequery.php. Atakujący może zdalnie manipulować argumentem user_id, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 znaleziono podatność SQL injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem Username, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany i może być wykorzystany.
W systemie Online Voting System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /saveVote.php. Funkcja test_input nieprawidłowo filtruje dane wejściowe, co pozwala atakującemu na manipulację argumentami voterName, voterEmail, voterID oraz selectedCandidate. Atak może być przeprowadzony zdalnie.
W systemie Online Voting System do wersji 1.0 wykryto podatność SQL injection w funkcji test_input pliku /authentication.php komponentu Login. Manipulacja argumentami adminUserName/adminPassword umożliwia zdalne wstrzyknięcie kodu SQL.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /edit_class2.php. Manipulacja argumentem ID umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /edit_course.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.
W systemie CodeAstro Apartment Visitor Management System 1.0 znaleziono podatność SQL injection w pliku /index.php w komponencie logowania. Manipulacja argumentem Username umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został opublikowany i może być wykorzystany.
W bibliotece Ecommerce-CodeIgniter-Bootstrap wykryto podatność na deserializację w funkcji getCartItems pliku ShoppingCart.php. Atak może być przeprowadzony zdalnie poprzez manipulację argumentem shopping_cart. Exploit został opublikowany i może być wykorzystany.
Wtyczka Dancer2::Plugin::Auth::OAuth w wersjach przed 0.23 nie obsługuje parametru state protokołu OAuth 2.0, co umożliwia ataki CSRF na logowanie. Atakujący może wykorzystać własne konto OAuth do przejęcia sesji ofiary.
Podatność w bibliotece Plack::Middleware::OAuth dla Perla do wersji 0.10 nie obsługuje parametru state protokołu OAuth 2.0. Brak weryfikacji powiązania żądania autoryzacji z sesją umożliwia atak CSRF na logowanie, gdzie atakujący może podmienić token dostępu w sesji ofiary.
W komponencie Vendor Multi-Image Endpoint aplikacji Ecommerce-CodeIgniter-Bootstrap wykryto podatność na manipulację ścieżką (path traversal) poprzez parametr folder w pliku AddProduct.php. Atak może być przeprowadzony zdalnie, a exploit został już opublikowany.
W bibliotece fickling do wersji 0.1.11 włącznie, analiza UnsafeImportsML zapisuje skrócone reprezentacje importów we współdzielonym zbiorze, co powoduje, że analiza MLAllowlist pomija wszystkie sprawdzenia i nie ocenia, czy import znajduje się na liście dozwolonych. W rezultacie każdy moduł spoza listy niebezpiecznych importów może zostać użyty podczas deserializacji pickle, a funkcja check_safety() zwraca LIKELY_SAFE, co prowadzi do wykonania złośliwego ładunku.

