Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /patient.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany i może być wykorzystany.
W komponencie Vendor Image Manager produktu Ecommerce-CodeIgniter-Bootstrap wykryto podatność na path traversal. Funkcja do_upload_others_images w pliku AddProduct.php pozwala na manipulację argumentem folder, co umożliwia zdalny atak.
W systemie Ecommerce-CodeIgniter-Bootstrap do wersji 213babdbaa949e94557246414db0130e01394517 wykryto podatność na atak XSS w funkcji checkForPostRequests pliku application/core/MY_Controller.php. Manipulacja argumentem User-Agent umożliwia zdalne wykonanie skryptu przez atakującego.
W bibliotece Ecommerce-CodeIgniter-Bootstrap do wersji 49b20f53 stwierdzono podatność na atak XSS w ukrytym punkcie końcowym REST API. Manipulacja argumentami title/description w pliku /index.php/api/product/set umożliwia zdalne wykonanie skryptów krzyżowych. Exploit został publicznie ujawniony i może być wykorzystany.
W bibliotece Ecommerce-CodeIgniter-Bootstrap do wersji 95dfa8cebbb87ab46ae450643a07241274a74dce wykryto podatność polegającą na otwartym przekierowaniu. Funkcja setReferrer w pliku application/core/MY_Controller.php nieprawidłowo waliduje argument href, co umożliwia atakującemu przekierowanie użytkownika na zewnętrzną, złośliwą stronę. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.
W systemie RT-Thread do wersji 5.2.2 wykryto podatność w funkcji read/write/sys_ioctl w pliku components/lwp/lwp_syscall.c. Manipulacja parametrami może prowadzić do dzielenia przez zero, co może być wykorzystane zdalnie. Opublikowano exploit, a poprawka oczekuje na akceptację.
W komponencie Live Webhook Endpoint biblioteki hermes-agent (NousResearch) do wersji 2026.5.16 wykryto podatność na path traversal. Funkcja extract_media w pliku gateway/platforms/base.py nieprawidłowo waliduje ścieżki, co umożliwia zdalnemu atakującemu dostęp do plików poza dozwolonym katalogiem. Exploit jest publicznie dostępny.
Wykryto podatność w projekcie NousResearch hermes-agent do wersji 0.15.2. Problem dotyczy funkcji DiscordAdapter._is_allowed_user w pliku gateway/platforms/discord.py, co prowadzi do nieprawidłowego uwierzytelnienia. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania.
W projekcie NousResearch hermes-agent do wersji 2026.4.30 wykryto słabość w funkcji AIAgent.run_conversation w pliku run_agent.py komponentu HTTP API. Manipulacja argumentem todos prowadzi do odmowy usługi (DoS). Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W bibliotece NousResearch hermes-agent do wersji 0.15.2 wykryto lukę bezpieczeństwa w funkcji shell.exec w pliku tui_gateway/server.py. Problem polega na obejściu mechanizmów ochronnych, co umożliwia zdalne przeprowadzenie ataku. Exploit został opublikowany i może być wykorzystywany w rzeczywistych atakach.
W projekcie omec-project amf do wersji 2.0.2/2.1.1 wykryto podatność w funkcji obsługi żądania NGSetupRequest w pliku handler.go. Manipulacja tą funkcją prowadzi do odmowy usługi (DoS). Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W komponencie omec-project amf do wersji 2.1.1 wykryto podatność w funkcji RRCInactiveTransitionReport modułu NGAP Message Handler. Zdalny atak może prowadzić do odmowy usługi (DoS). Exploit został publicznie ujawniony.
W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 wykryto podatność na iniekcję SQL w pliku /medicine.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został opublikowany i może być wykorzystany.
W komponencie AMF projektu Open5GS do wersji 2.7.7 wykryto podatność na atak DoS. Funkcja amf_nnrf_handle_nf_discover w pliku src/amf/nnrf-handler.c może zostać wykorzystana zdalnie do wywołania odmowy usługi. Exploit jest publicznie dostępny.
Podatność w Microsoft Edge dla systemu Android umożliwia nieautoryzowanemu atakującemu ominięcie funkcji zabezpieczającej przez sieć. Problem wynika z nieprawidłowej kontroli dostępu w przeglądarce.
W przeglądarce Microsoft Edge (opartej na Chromium) wykryto podatność polegającą na niewystarczającym ostrzeganiu użytkownika przed niebezpiecznymi operacjami. Umożliwia ona nieautoryzowanemu atakującemu przeprowadzenie ataku typu spoofing (fałszowanie) w sieci.
Podatność XSS w przeglądarce Microsoft Edge (opartej na Chromium) umożliwia nieautoryzowanemu atakującemu fałszowanie treści w sieci poprzez niewłaściwą neutralizację danych wejściowych podczas generowania strony internetowej.
Podatność typu Relative Path Traversal w przeglądarce Microsoft Edge dla systemu Android umożliwia nieautoryzowanemu atakującemu lokalne ujawnienie informacji.
Podatność SSRF (Server-Side Request Forgery) występuje podczas migracji repozytorium, gdy aplikacja podąża za przekierowaniami HTTP. Atakujący może wykorzystać tę lukę do wysyłania żądań do wewnętrznych zasobów sieciowych.
Podatność typu Absolute Path Traversal w przeglądarce Microsoft Edge dla systemu Android umożliwia nieautoryzowanemu atakującemu lokalne ujawnienie informacji.

