Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-14648
Wysokie

W systemie Online Voting System do wersji 1.0 wykryto podatność SQL injection w funkcji test_input pliku /authentication.php komponentu Login. Manipulacja argumentami adminUserName/adminPassword umożliwia zdalne wstrzyknięcie kodu SQL.

CVE-2026-14642
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL Injection w pliku /edit_class2.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit jest publicznie dostępny.

CVE-2026-14641
Wysokie

W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na iniekcję SQL w pliku /edit_course.php. Atakujący może zdalnie manipulować argumentem ID, co prowadzi do nieautoryzowanego dostępu do bazy danych. Exploit został publicznie ujawniony i może być wykorzystany.

CVE-2026-14640
Wysokie

W systemie CodeAstro Apartment Visitor Management System 1.0 znaleziono podatność SQL Injection w pliku /index.php w komponencie logowania. Manipulacja argumentem Username umożliwia atakującemu wstrzyknięcie kodu SQL. Atak może być przeprowadzony zdalnie, a exploit został opublikowany.

CVE-2026-14637
Wysokie

W bibliotece Ecommerce-CodeIgniter-Bootstrap wykryto podatność polegającą na deserializacji w funkcji getCartItems pliku ShoppingCart.php. Atak może być przeprowadzony zdalnie poprzez manipulację argumentem shopping_cart. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2026-14635
Wysokie

W Ecommerce-CodeIgniter-Bootstrap do wersji 222ff31c06687b1c6d0e1ab63953f82c3674c52b wykryto podatność na manipulację ścieżką (path traversal) w pliku AddProduct.php komponentu Vendor Multi-Image Endpoint. Atakujący może zdalnie zmienić argument folder, co prowadzi do nieautoryzowanego dostępu do plików. Exploit został opublikowany i może być wykorzystywany w atakach.

CVE-2026-14535
Wysokie

W bibliotece fickling w wersjach do 0.1.11 włącznie, przebieg analizy UnsafeImportsML bezwarunkowo wywołuje metodę shorten_code() na każdym węźle importu, rejestrując skróconą reprezentację w współdzielonym zbiorze. Powoduje to, że kolejny przebieg MLAllowlist otrzymuje dla każdego importu flagę already_reported=True i pomija sprawdzanie listy dozwolonych modułów, czyniąc go martwym kodem.

CVE-2026-14534
Wysokie

Podatność w bibliotece fickling w wersjach do 0.1.10 polega na braku modułów standardowej biblioteki Pythona (_posixsubprocess, site, atexit) na liście UNSAFE_IMPORTS. Powoduje to, że funkcja check_safety() błędnie klasyfikuje złośliwe ładunki pickle jako LIKELY_SAFE, co prowadzi do ich deserializacji i wykonania niebezpiecznego kodu.

CVE-2026-12196
Wysokie

Panel HestiaCP zawiera podatność polegającą na złamaniu kontroli dostępu w funkcji cronjob. Użytkownicy z niskimi uprawnieniami mogą modyfikować zadania cron panelu, aby wykonywać skrypty zarządzania HestiaCP z sudo bez hasła.

CVE-2026-12195
Wysokie

myVesta zawiera podatność na zdalne wykonanie kodu po uwierzytelnieniu. Użytkownicy z niskimi uprawnieniami mogą wstrzykiwać dowolne polecenia w parametrze v_ftp_user podczas usuwania nazw użytkowników FTP.

CVE-2026-14622
Wysokie

W komponencie AJAX Endpoint aplikacji restaurant-website-php-mysql wykryto brak uwierzytelnienia w pliku /admin/ajax_files. Podatność pozwala zdalnemu atakującemu na manipulację bez wymagania logowania. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.

CVE-2025-71380
Wysokie

Węzeł Execute Command w n8n umożliwia uwierzytelnionym użytkownikom wykonywanie dowolnych poleceń na systemie hosta, na którym działa n8n. Atakujący z dostępem użytkownika lub skradzionymi poświadczeniami mogą wykorzystać ten węzeł do uruchamiania złośliwych poleceń, co może prowadzić do wycieku danych, przerwania usług lub całkowitego przejęcia systemu.

CVE-2025-71375
Wysokie

Picklescan przed wersją 0.0.34 nie wykrywa wbudowanej funkcji _operator.methodcaller podczas skanowania plików pickle w poszukiwaniu złośliwego kodu. Atakujący mogą tworzyć złośliwe ładunki pickle wykorzystujące _operator.methodcaller, które omijają wykrywanie i wykonują dowolny kod po załadowaniu przez pickle.load().

CVE-2025-71373
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.33 polega na braku wykrywania wywołań funkcji operator.methodcaller w plikach pickle. Umożliwia to atakującym ominięcie zabezpieczeń i wykonanie dowolnego kodu po załadowaniu spreparowanego pliku pickle.

CVE-2025-71372
Wysokie

Picklescan przed wersją 0.0.33 nie wykrywa gadżetu numpy.f2py.crackfortran.getlincoef w metodach __reduce__ pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które po załadowaniu wykonują dowolny kod Pythona, omijając mechanizmy bezpieczeństwa Picklescan.

CVE-2025-71369
Wysokie

Picklescan przed wersją 0.0.28 nie wykrywa złośliwych plików pickle wykorzystujących torch.utils.data.datapipes.utils.decoder.basichandlers w metodach reduce, co pozwala atakującym ominąć mechanizmy bezpieczeństwa. Zdalni atakujący mogą osadzić niewykryty złośliwy kod w plikach pickle, który wykonuje się podczas deserializacji, umożliwiając zdalne wykonanie kodu.

CVE-2025-71367
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.34 nie wykrywa wywołań funkcji _operator.attrgetter w ładunkach pickle, co umożliwia atakującym ominięcie zabezpieczeń. Zdalni atakujący mogą stworzyć złośliwe pliki pickle używające _operator.attrgetter w metodach reduce do wykonania dowolnego kodu podczas przetwarzania pliku przez pickle.load().

CVE-2025-71366
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.28 nie wykrywa złośliwych wywołań funkcji torch.utils.bottleneck.__main__.run_cprofile w plikach pickle, co pozwala atakującym ominąć mechanizmy bezpieczeństwa. Zdalni atakujący mogą osadzić niewykrywalny kod w plikach pickle, prowadząc do zdalnego wykonania kodu po ich załadowaniu przez ofiarę.

CVE-2025-71364
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa funkcji asyncio.unix_events._UnixSubprocessTransport._start w metodach reduce pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję, ale wykonują dowolne polecenia po załadowaniu.

CVE-2025-71362
Wysokie

Picklescan przed wersją 0.0.33 nie wykrywa niebezpiecznej deserializacji, gdy funkcje numpy.f2py.crackfortran wywołują eval na dowolnych ciągach znaków. Atakujący mogą osadzić złośliwy kod w plikach pickle, który wykonuje się podczas ładowania z niezaufanych źródeł.

PoprzedniaStrona 7 z 3336Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS