Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność przepełnienia bufora stosu w funkcji formPPPoESetup pliku /goform/formPPPoESetup. Atakujący może zdalnie manipulować argumentem pppUserName, co prowadzi do przepełnienia bufora. Exploit został opublikowany i może być wykorzystany.
W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność polegającą na przepełnieniu bufora stosu w funkcji formL2TPSetup. Atakujący może zdalnie manipulować argumentem L2TPUserName, co prowadzi do przepełnienia bufora. Exploit został upubliczniony, a producent nie odpowiedział na zgłoszenie.
W urządzeniu Edimax EW-7478APC w wersji 1.04 odkryto podatność na przepełnienie bufora w funkcji formiNICSiteSurvey pliku /goform/formiNICSiteSurvey. Manipulacja argumentem selSSID umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany.
W systemie Real State Services 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /single-list_sale.php?action=add. Manipulacja argumentem ID umożliwia zdalne wykonanie ataku. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
Wtyczka Embed Privacy dla WordPressa zawiera podatność na path traversal, która pozwala atakującemu na dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.12.3.
Podatność w libzypp przed wersją 17.38.10 umożliwia zdalnym atakującym nadpisywanie plików systemowych poprzez błąd względnej ścieżki podczas przetwarzania metadanych repozytorium. Może to prowadzić do odmowy usługi lub eskalacji uprawnień.
W Yelp wykryto podatność spowodowaną zbyt liberalną polityką bezpieczeństwa treści (CSP) w bibliotece yelp-xsl. Złośliwa aplikacja Flatpak może otworzyć spreparowaną pomoc przez portal OpenURI, a osadzenie niezaufanego arkusza CSS w dokumentach SVG pozwala ominąć izolację sandboksową Flatpaka. Umożliwia to Yelp odczytywanie lokalnych plików XML i ujawnianie dowolnych plików hosta przez zdalne żądania CSS.
W systemie Online Hotel Management System 1.0 znaleziono podatność SQL Injection w pliku /admin/mod_users/controller.php?action=add. Manipulacja argumentem Name umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został opublikowany, co zwiększa ryzyko ataku.
W systemie Online Hotel Management System 1.0 znaleziono lukę w pliku /admin/mod_amenities/controller.php?action=add. Manipulacja argumentem image umożliwia nieograniczone przesyłanie plików, co może prowadzić do zdalnego wykonania kodu. Exploit został opublikowany i może być wykorzystany.
W systemie Online Hotel Management System 1.0 wykryto podatność SQL Injection w pliku /admin/mod_amenities/controller.php?action=edit. Atakujący może zdalnie manipulować argumentem amen_id, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
Podatność w usłudze IPC O+ Connect wynika z braku uwierzytelniania klientów. Zewnętrzne aplikacje mogą eskalować uprawnienia i wykonywać wrażliwe akcje przez kanał IPC.
W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność SQL injection w pliku /editBaptism.php. Atakujący może zdalnie manipulować argumentem ID, co prowadzi do wstrzyknięcia kodu SQL. Exploit został ujawniony publicznie.
W systemie itsourcecode Baptism Information Management System 1.0 wykryto podatność na wstrzykiwanie SQL w pliku /delbaptism.php. Nieznana funkcja tego pliku nieprawidłowo przetwarza argument ID, co umożliwia zdalne wykonanie ataku. Exploit został opublikowany i może być wykorzystany w rzeczywistych atakach.
W platformie Hanwang e-Face General Management Platform 6.3.5.4 wykryto podatność polegającą na nieograniczonym przesyłaniu plików. Problem występuje w pliku /manage/resourceUpload/upload.do, gdzie manipulacja argumentem File pozwala na zdalne wgranie dowolnego pliku. Exploit został publicznie ujawniony i może być wykorzystany.
W Feehi CMS do wersji 2.1.1 wykryto brak uwierzytelnienia w punkcie końcowym REST API /api/articles. Luka umożliwia zdalne wykorzystanie bez konieczności logowania, a szczegóły exploitów są publicznie dostępne.
W oprogramowaniu kamery D-Link DCS-935L w wersji 1.10.01 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Problem występuje w funkcji sub_400E40 pliku setconf.cgi, gdzie argument UID jest nieprawidłowo obsługiwany przez komponent POST Parameter Handler. Atak może być przeprowadzony zdalnie, a szczegóły exploit'a są publicznie dostępne.
W urządzeniu Wavlink WL-NU516U1-A w wersji M16U1_V240425 wykryto podatność na przepełnienie bufora stosu w funkcji sub_407504 pliku /cgi-bin/wireless.cgi. Manipulacja argumentem Guest_ssid w komponencie POST Parameter Handler umożliwia zdalne wykonanie ataku. Exploit jest publicznie dostępny.
Wtyczka APCu Manager dla WordPressa przed wersją 4.5.0 nie zabezpiecza kluczy pamięci podręcznej APCu przed wyświetleniem na stronie administracyjnej, co prowadzi do podatności na trwały atak XSS. Klucze pochodzące z niesanityzowanych danych wejściowych użytkownika (np. nazwy transjentu utworzonej przez niezautoryzowane żądanie) są renderowane bez kodowania, umożliwiając wykonanie dowolnego kodu JavaScript w sesji administratora.
W systemach Hitachi Virtual Storage Platform wykryto podatność nieprawidłowej autoryzacji w narzędziu konserwacyjnym. Luka umożliwia nieautoryzowany dostęp do funkcji utrzymaniowych, co może prowadzić do naruszenia integralności i poufności danych.
W komponencie ruoyi-vue-pro do wersji 2026.04-jdk8-SNAPSHOT wykryto podatność na przejście ścieżki (path traversal) w funkcji generateUploadPath pliku FileServiceImpl.java. Atakujący może zdalnie manipulować ścieżką pliku, co umożliwia dostęp do nieautoryzowanych zasobów.

