Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13579
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /patientchangepassword.php. Poprzez manipulację argumentem newpassword atakujący może zdalnie wykonać nieautoryzowane zapytania do bazy danych. Exploit został opublikowany, co zwiększa ryzyko ataków.

CVE-2026-13578
Średnie

W systemie itsourcecode Hospital Management System 1.0 wykryto podatność SQL Injection w pliku /patientdetail.php. Atakujący może zdalnie manipulować argumentem editid, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany publicznie.

CVE-2026-13572
Średnie

W systemie zarządzania szpitalem itsourcecode Hospital Management System 1.0 znaleziono podatność SQL injection w pliku /insertbillingrecord.php. Atakujący może zdalnie manipulować argumentem patientid, co prowadzi do wstrzyknięcia SQL. Exploit został ujawniony publicznie.

CVE-2026-13571
Średnie

W systemie SourceCodester Simple Food Ordering System 1.0 wykryto podatność w pliku /cart.php. Manipulacja argumentem item_price może prowadzić do błędów logiki biznesowej. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

CVE-2026-56457
Średnie

Podatność w HCL DevOps Deploy / HCL Launch umożliwia ujawnienie wrażliwych informacji w logach wyjściowych. Atakujący mający dostęp do logów może potencjalnie uzyskać poufne wartości związane z danym krokiem.

CVE-2026-54370
Średnie

W bibliotece ACL przed wersją 2.4.0 wykryto podatność typu TOCTOU (time-of-check time-of-use), która umożliwia lokalnemu atakującemu eskalację uprawnień poprzez podmianę składnika ścieżki na dowiązanie symboliczne między sprawdzeniem lstat() a kolejnymi operacjami podążającymi za dowiązaniami, takimi jak stat(), chown(), chmod(), acl_get_file() i acl_set_file(). Atakujący kontrolujący składnik ścieżki może przekierować operacje na listy kontroli dostępu do plików na dowolne pliki, gdy getfacl, setfacl lub chacl jest wywoływane przez uprzywilejowany proces na ścieżce kontrolowanej przez atakującego, co prowadzi do lokalnej eskalacji uprawnień.

CVE-2026-13569
Średnie

W systemie EyouCMS do wersji 1.7.1 wykryto podatność SQL Injection w pliku /index.php komponentu API. Atakujący może zdalnie manipulować argumentem click_like, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-13567
Średnie

W projekcie code-projects Online Music Site 1.0 odkryto podatność na atak XSS w pliku /Frontend/Feedback.php. Manipulacja argumentami fname, femail, faddress lub fmessage umożliwia zdalne wstrzyknięcie złośliwego skryptu.

CVE-2026-12616
Średnie

Podatność w punkcie końcowym /v1/upload/sbom pozwala nieuwierzytelnionemu atakującemu na wstrzyknięcie fałszywych wpisów do logów poprzez manipulację polem iss w tokenie JWT. Ze względu na wyłączoną weryfikację podpisu JWT oraz dosłowne renderowanie znaków nowej linii w formacie logów, atakujący może wygenerować wpisy identyczne z autentycznymi komunikatami o pomyślnym uwierzytelnieniu.

CVE-2026-41991
Średnie

GNU gzip zawiera podatność w narzędziu gzexe związaną z niebezpiecznym tworzeniem plików tymczasowych. Gdy narzędzie mktemp nie jest dostępne w ścieżce PATH użytkownika, gzexe tworzy plik tymczasowy o przewidywalnej nazwie opartej wyłącznie na PID procesu, bez sprawdzania jego istnienia lub wyłączności dostępu. Lokalny atakujący może wcześniej utworzyć tę ścieżkę jako dowiązanie symboliczne do dowolnego pliku zapisywalnego przez ofiarę, co prowadzi do nadpisania pliku w wyniku warunku TOCTOU.

CVE-2026-13561
Średnie

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji formiNICbasic w pliku /goform/formiNICbasic, gdzie argument rootAPmac jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.

CVE-2026-13560
ŚrednieEPSS 63%

W urządzeniu Edimax EW-7478APC w wersji 1.04 wykryto podatność polegającą na wstrzykiwaniu poleceń systemu operacyjnego. Problem występuje w funkcji formAccept pliku /goform/formAccept w komponencie POST Request Handler, gdzie argument submit-url jest nieprawidłowo filtrowany. Atak może być przeprowadzony zdalnie, a exploit został już opublikowany.

CVE-2026-13557
Średnie

W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS w pliku /admin/mod_room/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie złośliwego skryptu. Exploit jest publicznie dostępny.

CVE-2026-13556
Średnie

W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność na atak XSS. Nieznana część pliku /admin/mod_users/controller.php?action=edit w komponencie POST Request Handler pozwala na manipulację argumentem Name, co prowadzi do wykonania skryptów po stronie przeglądarki. Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.

CVE-2026-13554
Średnie

W systemie Online Hotel Management System 1.0 znaleziono podatność na atak XSS w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem Name w żądaniu POST umożliwia zdalne wstrzyknięcie skryptów. Exploit został opublikowany.

CVE-2026-9267
Średnie

W bibliotece Eclipse tinydtls przed commitem b3efd41ad111a4920f599f51ffa4f5e9f1e72221 wykryto podatność na odczyt poza dozwolonym zakresem pamięci w funkcji check_server_certificate(). Nieuwierzytelniony atakujący może wysłać spreparowaną wiadomość uzgadniania certyfikatu z określoną wartością fragment_length, co prowadzi do odczytu poza buforem.

CVE-2026-57966
Średnie

W bibliotece spice-vdagent wykryto podatność na przejście ścieżki (path traversal). Pozwala ona złośliwemu lub skompromitowanemu hostowi SPICE na zapisywanie dowolnych plików w dowolnej lokalizacji w systemie gościa. Problem wynika z braku odpowiedniej sanityzacji nazwy pliku przesyłanej przez hosta SPICE podczas transferu plików.

CVE-2026-57965
Średnie

W bibliotece spice-vdagent wykryto podatność polegającą na przepełnieniu liczby całkowitej. Złośliwy lub skompromitowany host SPICE może wysłać specjalnie spreparowaną wiadomość, co prowadzi do przepełnienia bufora sterty. Powoduje to awarię demona spice-vdagent i skutkuje odmową usługi (DoS) dla maszyny wirtualnej.

CVE-2026-57676
Średnie

Wtyczka Simple User Avatar dla WordPressa zawiera podatność na obejście autoryzacji poprzez kontrolowany przez użytkownika klucz. Umożliwia to wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu.

CVE-2026-13595
Średnie

W bibliotece libblkid pakietu util-linux wykryto podatność polegającą na użyciu zwolnionej pamięci (use-after-free) podczas analizy zagnieżdżonych partycji. Probes partycji BSD, Minix, Solaris x86 i UnixWare przechowują surowy wskaźnik do wpisu partycji nadrzędnej w dynamicznie alokowanej tablicy, który staje się nieaktualny po realokacji tablicy. Atakujący może wykorzystać tę podatność, dostarczając spreparowany obraz urządzenia blokowego (np. przez USB lub obraz dysku loop-mounted), co powoduje automatyczne wywołanie libblkid przez udev/udisks jako root.

PoprzedniaStrona 47 z 542Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS