Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W systemie SourceCodester Class and Exam Timetabling System 1.0 wykryto podatność na iniekcję SQL w pliku /archive.php poprzez manipulację argumentem sy. Atak może być przeprowadzony zdalnie, a exploit jest publicznie dostępny.
W systemie SourceCodester Class and Exam Timetabling System 1.0 w pliku /preview6.php stwierdzono podatność na wstrzykiwanie SQL. Manipulacja argumentem course_year_section umożliwia zdalne wykonanie ataku. Exploit został publicznie ujawniony.
W systemie SourceCodester Class and Exam Timetabling System 1.0 odkryto podatność SQL Injection w pliku /preview.php. Atakujący może zdalnie manipulować argumentem course_year_section, co prowadzi do wstrzyknięcia kodu SQL. Exploit został opublikowany, co zwiększa ryzyko wykorzystania.
W MLflow do wersji 4666cffc7912ea606d592fc38d6a75e2935f65e7 wykryto brak autoryzacji w API CRUD dla schematów etykiet w zakresie eksperymentu. Luka umożliwia zdalne manipulowanie danymi bez odpowiedniego uwierzytelnienia, choć jej wykorzystanie jest trudne ze względu na wysoką złożoność ataku.
W aplikacji arc53 DocsGPT do wersji 0.18.0 wykryto podatność w funkcji encrypt_credentials w pliku application/security/encryption.py. Polega ona na niewystarczającej weryfikacji autentyczności danych, co może umożliwić zdalny atak. Mimo wysokiego stopnia trudności exploita, został on opublikowany i może być wykorzystany.
Wykryto podatność w skypilot do wersji 0.12.0, dotyczącą funkcji username.encode w pliku sky/users/server.py komponentu User ID Handler. Manipulacja prowadzi do użycia słabego hasha, co umożliwia atak zdalny o wysokiej złożoności.
W implementacji getaddrinfo() dla gniazd BSD w Zephyrze występuje podatność use-after-return. Gdy oczekiwanie na semaforze przekroczy limit czasu, kod ponawia zapytanie DNS bez anulowania poprzedniego, pozostawiając aktywny wskaźnik do stosu. Odpowiedź DNS lub opóźnione timeout mogą nadpisać pamięć stosu, co prowadzi do awarii lub uszkodzenia pamięci.
Sterownik UART SERCOM-G1 dla układów PIC32CM-JH (Microchip) zawiera podatność na zapis poza zakresem w ścieżce odbioru asynchronicznego (DMA). Gdy funkcja uart_rx_enable() jest wywoływana z buforem odbiorczym o długości 1 bajtu i włączoną opcją CONFIG_UART_MCHP_ASYNC, procedura obsługi przerwania RX-complete inicjuje pojedynczy transfer DMA, podczas gdy odebrany bajt jest już oczekujący w rejestrze DATA. Powoduje to zapis jednego bajtu poza końcem bufora (CWE-787).
W Zephyr Bluetooth LE Audio Basic Audio Profile (BAP) unicast client występuje podatność na zapis przez wskaźnik NULL. Funkcja unicast_client_ep_qos_state() zapisuje kontrolowane przez atakującego pola QoS przez wskaźnik stream->qos, który może być NULL, gdy strumień jest skonfigurowany kodekiem, ale nie dodany do grupy unicast. Zdalny serwer ASCS może wysłać powiadomienie GATT o stanie ASE QoS Configured, gdy lokalny endpoint jest w stanie Codec Configured, co powoduje zapis przez NULL i awarię systemu (odmowę usługi).
Podatność w Nmap do wersji 7.99 powoduje, że funkcja ipv6_get_data_primitive nie kontroluje poprawnie granic nagłówków rozszerzeń IPv6, co prowadzi do odczytu poza zakresem bufora. Atakujący może wysłać spreparowaną odpowiedź IPv6 z obciętym nagłówkiem rozszerzenia, wywołując awarię skanera.
Podatność w Flowise przed wersją 3.1.3 umożliwia ominięcie listy zablokowanych zmiennych środowiskowych dla węzłów Custom MCP. Na systemie Windows, gdzie nazwy zmiennych środowiskowych nie rozróżniają wielkości liter, użycie 'node_options' zamiast 'NODE_OPTIONS' pozwala na wstrzyknięcie opcji --require i wykonanie dowolnego kodu.
Podatność w RustDesk pozwala na eskalację uprawnień w sesji transferu plików. Bramkowanie komunikatów sterujących opiera się na flagach możliwości, a nie na autoryzowanym typie połączenia, a sesja transferu plików nie czyści tych flag. Osoba posiadająca jedynie autoryzację do transferu plików może wstrzykiwać dane z klawiatury i myszy oraz uzyskać dostęp do niechronionych procedur obsługi zrzutów ekranu i przechwytywania wyświetlacza, działając poza przyznanym zakresem.
Podatność w nghttp2 nghttpx do wersji 1.69.0 powoduje, że żądanie HTTP/1.1 Upgrade zawierające nagłówek Content-Length i ciało jest przekazywane na ponownie używane połączenia backendowe. Backend interpretujący tę niejednoznaczną wiadomość na korzyść atakującego umożliwia przemycanie żądań/odpowiedzi HTTP oraz zatruwanie kolejki odpowiedzi między klientami.
W MyBB 1.8.40 ograniczony administrator z uprawnieniami do zarządzania użytkownikami może przypisać dowolną grupę, w tym grupę Administratorów (gid 4). Funkcja verify_usergroup() w module użytkownika zawsze zwraca true, co umożliwia eskalację uprawnień do pełnego zestawu uprawnień administratora.
Podatność w Gitea act_runner z backendem Docker (do wersji act 0.262.0) pozwala na ominięcie ograniczeń trybu uprzywilejowanego. Poprzez przekazanie parametrów kontenera, takich jak --pid=host, --cap-add i --security-opt, użytkownik może uzyskać dostęp do przestrzeni nazw hosta i eskalować uprawnienia do roota.
Podatność w 7-Zip dla Windows do wersji 26.02 pozwala na pominięcie znacznika Mark-of-the-Web podczas rozpakowywania spreparowanego archiwum RAR5. Mechanizm ochrony sprawdza dokładną nazwę 'Zone.Identifier', ale nie obsługuje rekordów STM o nazwie ':Zone.Identifier:$DATA', które NTFS kanonizuje do tego samego strumienia, nadpisując znacznik strefy internetowej wartością ZoneId=0. Drugi rekord STM '::$DATA' nadpisuje domyślny strumień danych pliku, umożliwiając atakującemu ominięcie ostrzeżeń SmartScreen/MotW i fałszowanie zawartości pliku.
W bibliotece libssh2 w wersjach do 1.11.1 włącznie, podczas rozszerzania listy kluczy publicznych za pomocą SSH2_REALLOC, nowe wpisy nie są zerowane przed ich wypełnieniem. W przypadku błędu parsowania, ścieżka czyszczenia może operować na niezainicjalizowanym wpisie, co prowadzi do wywołania free na nieprzewidywalnym wskaźniku attrs, który może być kontrolowany przez atakującego.
Podatność w bibliotece libssh2 do wersji 1.11.1 pozwala atakującemu SSH serwerowi na odczytanie kontrolowanej przez siebie 32-bitowej liczby atrybutów z odpowiedzi subsystemu publickey. Liczba ta jest używana do alokacji pamięci bez sprawdzania zakresu, co na platformach 32-bitowych prowadzi do przepełnienia mnożenia i przydzielenia zbyt małego bufora. Następnie złośliwy serwer może zapisać dane poza przydzielonym obszarem, powodując przepełnienie sterty w kliencie libssh2.
Dekoder wideo RASC w bibliotece FFmpeg (funkcja decode_dlta w pliku libavcodec/rasc.c) wykonuje 32-bitowe odczyty i zapisy na kursorze wiersza przed sprawdzeniem granic wiersza NEXT_LINE oraz waliduje region DLTA w pikselach zamiast w bajtach, co powoduje, że przebieg DLTA na ramce PAL8 może uzyskać dostęp do kilku bajtów poza alokacją wiersza. Złośliwy strumień medialny używający FourCC RASC, zdekodowany przez libavcodec, wyzwala kontrolowany przez strumień bitów zapis poza zakresem na stercie oraz sąsiedni odczyt poza zakresem, prowadząc do uszkodzenia pamięci.
Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 zawiera podatność na uwierzytelnione usuwanie dowolnych plików. Problem wynika z obejścia walidacji parametru wpfm_dir_path w handlerze AJAX wpfm_file_meta_update, gdzie użycie wielkich liter (WPFM_DIR_PATH) pozwala na nadpisanie ścieżki pliku i usunięcie dowolnego pliku na serwerze.

