Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie Internship Management System 1.0 wykryto podatność SQL injection w pliku employer/login.php. Atakujący może zdalnie manipulować argumentami email/password, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.
W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 znaleziono podatność SQL injection w funkcji save_client pliku classes/Users.php. Manipulacja argumentem Name w komponencie obsługi rejestracji umożliwia zdalne wstrzyknięcie SQL. Exploit został opublikowany i może być wykorzystany.
W systemie SourceCodester Multi-Vendor Online Grocery Management System 1.0 wykryto słabość w funkcji save_users pliku classes/Users.php, która prowadzi do nieprawidłowej autoryzacji. Podatność może być zdalnie wykorzystana przez atakującego, a exploit został opublikowany publicznie.
W systemie Online Hotel Management System 1.0 od itsourcecode wykryto podatność SQL injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem email, co prowadzi do wstrzyknięcia SQL. Exploit jest publicznie dostępny.
W systemie Online Job Portal 1.0 znaleziono podatność na wstrzykiwanie SQL w pliku login.php. Nieznana funkcja tego pliku pozwala na manipulację argumentami txtUser i txtPass, co umożliwia atakującemu zdalne wykonanie zapytań SQL. Exploit został opublikowany i może być wykorzystany.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 wykryto podatność SQL Injection w pliku /admin/girlsproductdeletequery.php. Nieznana funkcja tego pliku pozwala na manipulację argumentem user_id, co umożliwia zdalne wstrzyknięcie kodu SQL. Exploit jest publicznie dostępny i może zostać wykorzystany.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 wykryto podatność SQL injection w pliku /admin/mensproductdeletequery.php. Atakujący może zdalnie manipulować argumentem user_id, co prowadzi do wstrzyknięcia SQL. Exploit został publicznie ujawniony.
W skrypcie SourceCodester Simple and Nice Shopping Cart Script 1.0 znaleziono podatność SQL injection w pliku /admin/login.php. Atakujący może zdalnie manipulować argumentem Username, co prowadzi do wstrzyknięcia SQL. Exploit został opublikowany i może być wykorzystany.
W systemie Online Voting System 1.0 wykryto podatność na iniekcję SQL w pliku /saveVote.php. Funkcja test_input nie zabezpiecza odpowiednio argumentów voterName, voterEmail, voterID oraz selectedCandidate, co umożliwia zdalne wykonanie ataku.
W systemie Online Voting System do wersji 1.0 wykryto podatność SQL injection w funkcji test_input pliku /authentication.php komponentu Login. Manipulacja argumentami adminUserName/adminPassword umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony.
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność SQL injection w pliku /edit_class2.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit jest publicznie dostępny.
W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /edit_course.php. Manipulacja argumentem ID umożliwia zdalne wstrzyknięcie kodu SQL. Exploit został publicznie ujawniony i może być wykorzystany.
W systemie CodeAstro Apartment Visitor Management System 1.0 wykryto podatność na iniekcję SQL w pliku /index.php w komponencie logowania. Manipulacja argumentem Username umożliwia atakującemu zdalne wykonanie nieautoryzowanych zapytań do bazy danych. Exploit został opublikowany i może być wykorzystany.
W bibliotece Ecommerce-CodeIgniter-Bootstrap wykryto podatność polegającą na deserializacji w funkcji getCartItems pliku ShoppingCart.php. Atak może być przeprowadzony zdalnie poprzez manipulację argumentem shopping_cart. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W Ecommerce-CodeIgniter-Bootstrap do wersji 222ff31c06687b1c6d0e1ab63953f82c3674c52b wykryto podatność na manipulację ścieżką (path traversal) w pliku AddProduct.php komponentu Vendor Multi-Image Endpoint. Atakujący może zdalnie modyfikować argument folder, co prowadzi do nieautoryzowanego dostępu do plików. Exploit został opublikowany i może być wykorzystywany w atakach.
W bibliotece fickling do wersji 0.1.11 włącznie, analiza UnsafeImportsML zapisuje skrócone reprezentacje importów we współdzielonym zbiorze, co powoduje, że analiza MLAllowlist pomija wszystkie sprawdzenia, uznając je za już zgłoszone. W rezultacie MLAllowlist staje się nieaktywny, a importy modułów spoza listy dozwolonych mogą być traktowane jako bezpieczne.
Podatność w bibliotece fickling do wersji 0.1.10 włącznie polega na braku modułów standardowej biblioteki Pythona (_posixsubprocess, site, atexit) na liście UNSAFE_IMPORTS. Powoduje to, że funkcja check_safety() błędnie klasyfikuje złośliwe ładunki pickle jako LIKELY_SAFE, co umożliwia ich deserializację i wykonanie niebezpiecznych funkcji, takich jak fork_exec, execsitecustomize czy _run_exitfuncs.
Funkcja cronjob w panelu HestiaCP zawiera podatność związaną z uszkodzoną kontrolą dostępu. Użytkownicy z niskimi uprawnieniami mogą modyfikować zadania cron panelu, aby wykonywać skrypty zarządzania HestiaCP z sudo bez hasła.
myVesta zawiera podatność na zdalne wykonanie kodu po uwierzytelnieniu. Użytkownicy z niskimi uprawnieniami mogą wstrzykiwać dowolne polecenia w parametrze v_ftp_user podczas usuwania nazw użytkowników FTP.
W komponencie AJAX Endpoint aplikacji restaurant-website-php-mysql wykryto brak uwierzytelnienia w pliku /admin/ajax_files. Podatność umożliwia zdalne manipulowanie danymi bez wymagania logowania. Exploit został opublikowany, co zwiększa ryzyko ataku.

