Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Gravity Forms Booking dla WordPressa jest podatna na atak typu SQL Injection opartego na czasie poprzez parametr 'staff_id' we wszystkich wersjach do 2.7.1 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka Dokan Pro dla WordPressa jest podatna na atak SQL Injection oparty na czasie poprzez parametr 'orderby' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametru dostarczanego przez użytkownika oraz braku odpowiedniego przygotowania zapytania SQL.
Wtyczka Gutenberg Essential Blocks dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez atrybut 'configurablePrefix' w bloku. Problem ten występuje we wszystkich wersjach do 6.1.4 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka Tcpdump dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia poprzez parametry options lub filter z powodu niedostatecznego oczyszczania danych wejściowych.
Wtyczka Finger dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Autoryzowany atakujący może wykonać dowolne polecenia systemowe poprzez parametry user lub host z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.
Podatność Arbitrary File Read w wtyczce Sed Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym odczyt dowolnych plików za pomocą parametru expression z powodu niewystarczającej walidacji danych wejściowych.
Wtyczka RPM dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wykonać dowolne polecenia OS poprzez parametry repo, key lub name z powodu niedostatecznego oczyszczania danych wejściowych.
Wtyczka SQLmap dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z uwierzytelnieniem może wykonać dowolne polecenia poprzez parametry api_host lub api_port podczas konfiguracji połączenia z powodu niewystarczającej walidacji wejścia.
W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji gf_filter_in_parent_chain. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku.
W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_get_packet w pliku filter_core/filter_pid.c. Atakujący może wykorzystać specjalnie spreparowany plik multimedialny, aby doprowadzić do awarii aplikacji (odmowa usługi).
Cacti to otwartoźródłowy framework do zarządzania wydajnością i błędami. Wersje 1.2.30 i wcześniejsze są podatne na atak typu Reflected XSS poprzez parametr tab w kontekście JavaScript pliku auth_profile.php. Problem został naprawiony w wersji 1.2.31.
Cacti to framework open source do zarządzania wydajnością i awariami. Wersje 1.2.30 i wcześniejsze są podatne na Path Traversal przez parametr filename w pliku package_import.php. Problem został naprawiony w wersji 1.2.31.
Podatność w metodzie uploadSSL oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną eliminację dowolnych plików. Problem wynika z braku walidacji ścieżki dostarczonej przez użytkownika przed użyciem jej w operacjach na plikach.
Podatność w metodzie updateLicense oprogramowania ATEN Unizon umożliwia zdalną, uwierzytelnioną osobę do usunięcia dowolnych plików w systemie. Problem wynika z braku walidacji ścieżki podanej przez użytkownika przed użyciem jej w operacjach na plikach.
SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 miał punkt końcowy /api/icon/getDynamicIcon, który nie wymagał uwierzytelnienia. Atakujący mogą wykorzystać ten punkt końcowy do wykonania dowolnych zapytań SELECT w bazie danych SQLite SiYuan, co prowadzi do wycieku danych użytkowników.
Podatność w Chrome DevTools MCP (wersje 0.24.0 do 1.1.0) pozwala na obejście ograniczeń katalogów roboczych poprzez dowiązania symboliczne. Funkcja walidująca ścieżki nie normalizuje dowiązań symbolicznych, co umożliwia odczyt i zapis plików poza dozwolonym obszarem.
Podatność w chrome-devtools-mcp od wersji 0.20.0 do 1.1.0 pozwala lokalnemu użytkownikowi z niskimi uprawnieniami na utworzenie dowiązania symbolicznego do pliku PID demona, co skutkuje nadpisaniem dowolnego pliku ofiary ciągiem PID procesu.
Podatność w bibliotece Tiptap dla PHP przed wersją 2.1.1 umożliwia uwierzytelnionym atakującym przeprowadzenie ataku typu DoS poprzez przesłanie JSON-a z polem attrs.href ustawionym na tablicę zamiast stringa. Powoduje to nieobsłużony błąd TypeError w funkcji Link::isAllowedUri() podczas przekazywania do preg_match(), co prowadzi do trwałego uszkodzenia rekordu i blokady renderowania HTML dla wszystkich użytkowników.
Cacti to otwarte źródło frameworka do zarządzania wydajnością i błędami. Wersje 1.2.30 i poniżej zawierają podatność typu Reflected XSS w html_auth_footer, która została naprawiona w wersji 1.2.31.
Sterownik UART PL011 w Zephyr OS (drivers/serial/uart_pl011.c) zawiera nieograniczoną pętlę w funkcji pl011_irq_tx_enable(), która powoduje zawieszenie wątku przy włączonym sprzętowym sterowaniu przepływem CTS. Gdy urządzenie zewnętrzne deasertuje sygnał CTS, sterownik nie może opróżnić FIFO nadawczego, a pętla nigdy się nie kończy, prowadząc do odmowy usługi (CWE-835).

