Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W NuGet Gallery, repozytorium pakietów dla nuget.org, występuje podatność związana z obsługą plików .nuspec w zadaniach backendowych. Atakujący może dostarczyć spreparowany plik nuspec z złośliwymi metadanymi, co prowadzi do wstrzykiwania metadanych między pakietami, co może skutkować zdalnym wykonaniem kodu (RCE) oraz nieautoryzowanym zapisem blobów z powodu niewystarczającej walidacji wejścia.
Jellyfin to serwer multimedialny typu open source, który w wersjach przed 10.11.7 zawiera podatność na nieautoryzowane odczyty plików poprzez wstrzykiwanie argumentów ffmpeg w mechanizmie analizy parametrów zapytania StreamOptions. Metoda ParseStreamOptions dodaje parametry zapytania do słownika bez walidacji, co pozwala na wstrzyknięcie złośliwego filtru drawtext.
Jellyfin to otwartoźródłowy serwer multimedialny, który w wersjach przed 10.11.7 zawiera łańcuch podatności w punkcie końcowym przesyłania napisów. Pole Format nie jest walidowane, co pozwala na przejście ścieżki przez rozszerzenie pliku i umożliwia zapis dowolnych plików.
OAuth2 Proxy to reverse proxy, który zapewnia uwierzytelnianie przy użyciu dostawców OAuth2. W wersjach przed 7.15.2 występuje luka w uwierzytelnianiu zależna od konfiguracji, która pozwala na ominięcie uwierzytelnienia w określonych warunkach, umożliwiając atakującym dostęp do chronionych zasobów.
Wersje 3.0.3960.22810 i 3.0.3960.22604 Unisys WebPerfect Image Suite udostępniają nieautoryzowany punkt końcowy WCF SOAP na porcie TCP 1208, który akceptuje niesanitizowane ścieżki plików w parametrze LFName akcji ReadLicense. Umożliwia to zdalnym atakującym inicjowanie połączeń SMB i wyciek haseł kont maszynowych NTLMv2.
Wersje 3.0.3960.22810 i 3.0.3960.22604 Unisys WebPerfect Image Suite narażają na ataki zdalne poprzez przestarzały kanał TCP .NET Remoting, co pozwala na wyciek haszy kont maszynowych NTLMv2. Atakujący mogą wykorzystać techniki unmarshalling obiektów, aby dostarczyć ścieżkę UNC jako argument pliku docelowego.
Wersje ColdFusion 2023.18, 2025.6 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.
Podatność typu 'sandbox escape' w Terrarium umożliwia wykonanie dowolnego kodu z uprawnieniami roota na procesie hosta poprzez przechodzenie po łańcuchu prototypów JavaScript.
Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.
Podatność CVE-2026-33824 dotyczy podwójnego zwolnienia pamięci w rozszerzeniu IKE systemu Windows, co pozwala nieautoryzowanemu atakującemu na wykonanie kodu przez sieć.
Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej podatności wymaga interakcji użytkownika, który musi odwiedzić złośliwie przygotowany adres URL lub wchodzić w interakcję z zainfekowaną stroną internetową.
Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak typu Cross-Site Scripting (XSS) oparty na DOM. Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.
Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.
Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.
Nieprawidłowe neutralizowanie sekwencji ucieczki, meta lub kontrolnych w Microsoft Power Apps umożliwia autoryzowanemu atakującemu przeprowadzenie spoofingu w sieci.
W wersji 0.25.6 biblioteki transloadit uppy odkryto problem związany z CWE-843: Dostęp do zasobu przy użyciu niekompatybilnego typu.
W podatności typu przejście ścieżki ('path traversal') w Fortinet FortiSandbox w wersjach 5.0.0 do 5.0.5 oraz 4.4.0 do 4.4.8, atakujący może uzyskać podwyższone uprawnienia poprzez specjalnie przygotowane żądania HTTP.
W Fortinet FortiSandbox w wersjach od 4.4.0 do 4.4.8 występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu lub poleceń.
W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.
W systemie zarządzania szkołą manikandan580 w wersji 1.0 występuje podatność na ślepe wstrzykiwanie SQL oparte na czasie w pliku /studentms/admin/between-date-reprtsdetails.php, wykorzystująca parametr POST 'fromdate'.

