Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w bibliotece pragdave earmark pozwala na przechowywanie skryptów między atrybutami w stronach internetowych poprzez nieodpowiednie neutralizowanie wartości atrybutów HTML. Wartości atrybutów nie są odpowiednio kodowane, co umożliwia atak XSS.
Brak uwierzytelnienia dla krytycznej funkcji w RTI Connext Professional (Security Plugins) umożliwia fałszowanie źródła danych. Podatność dotyczy wersji od 5.3.0 do 7.7.0 (z wyłączeniem poprawek).
W wersjach Splunk AI Toolkit poniżej 5.7.4, użytkownik o niskich uprawnieniach, który nie posiada ról 'admin' lub 'power', może spowodować, że Splunk AI Toolkit wykona zewnętrzne żądania HTTP do serwera kontrolowanego przez atakującego, co może prowadzić do wycieku danych.
Podatność w przeglądarkowej wersji aplikacji Cisco Webex mogła umożliwić nieautoryzowanemu, zdalnemu atakującemu przekierowanie użytkowników na złośliwą stronę internetową. Cisco załatało tę podatność, więc nie są wymagane żadne działania ze strony klientów.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na wstrzykiwanie SQL związaną z niewłaściwą neutralizacją specjalnych elementów używanych w poleceniach SQL. Atakujący z niskimi uprawnieniami i dostępem do sąsiedniej sieci może wykorzystać tę podatność, co prowadzi do wstrzykiwania skryptów.
Podatność w interfejsie vmadmin CLI urządzenia Cisco Umbrella Virtual Appliance może pozwolić uwierzytelnionemu, lokalnemu atakującemu na podniesienie uprawnień na zaatakowanym urządzeniu. Problem wynika z niewystarczającej walidacji poleceń dostarczanych przez użytkownika.
Podatność w interfejsie zarządzania opartym na sieci Cisco Crosswork Network Controller może umożliwić uwierzytelnionemu, zdalnemu atakującemu wykonanie dowolnych poleceń na dotkniętym urządzeniu. Problem wynika z niewystarczającej walidacji danych wejściowych w silniku szablonów konfiguracyjnych.
Złośliwie spreparowany plik RFA podczas konwersji do FormIt w Autodesk Revit może spowodować wyłuskanie wskaźnika NULL. Udane wykorzystanie podatności prowadzi do awarii aplikacji i odmowy usługi.
W Katello, będącym częścią Red Hat Satellite, wykryto lukę w funkcjonalności przesyłania treści. Niewystarczające sprawdzenie autoryzacji w kontrolerze ContentUploadsController umożliwiało użytkownikom z uprawnieniem edit_products odpytywanie o informacje o treściach w repozytoriach, do których zarządzania nie byli upoważnieni. Uwierzytelniony atakujący mógł wykorzystać ten problem do sprawdzenia, czy określone treści istnieją w niedostępnych dla niego repozytoriach.
Podatność Host Header Injection w Dell PowerFlex Manager przed wersją 5.1.0.1 pozwala nieuwierzytelnionemu atakującemu z dostępem zdalnym na manipulację nagłówkami hosta, co może prowadzić do przekierowań.
OpenStack Horizon przed wersją 25.7.4 generuje skrypty do pobierania plików RC OpenStack, które mogą zawierać spreparowaną nazwę projektu z metaznakami powłoki.
NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.
Platforma detekcji dronów DroneAware była podatna na atak pre-hijackingowy konta, w którym atakujący mógł zarejestrować konto przy użyciu adresu e-mail ofiary z hasłem kontrolowanym przez atakującego, zanim ofiara aktywowała konto. Po aktywacji konta przez właściciela, hasło ustalone przez atakującego stawało się ważne, co umożliwiało przejęcie konta bez powiadomienia ofiary.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność związaną z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego. Nieautoryzowany atakujący zdalny może potencjalnie wykorzystać tę podatność, co prowadzi do ujawnienia informacji oraz manipulacji danymi.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający zdalny dostęp, może wykorzystać tę podatność, co może prowadzić do odmowy usługi.
Dell PowerFlex Manager w wersjach przed 5.1.0.1 zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający dostęp do sąsiedniej sieci, może wykorzystać tę podatność, co prowadzi do podniesienia uprawnień i nieautoryzowanego dostępu.
W 389 Directory Server w funkcji __aclp__normalize_acltxt() w pliku aclparse.c wykryto podatność polegającą na braku walidacji długości słowa kluczowego ACI po usunięciu białych znaków. Może to prowadzić do zapisu i odczytu poza dozwolonym obszarem pamięci sterty (heap-buffer-overflow).
Plane CE w wersji 1.3.1 pozwala na to, aby członek projektu o niskich uprawnieniach mógł przesłać dowolny kod HTML/JS w polu description_html podczas tworzenia elementu pracy przez API v1 intake.
Dell PowerFlex Manager w wersjach przed 4.5.1.1 zawiera podatność na niewłaściwą walidację certyfikatów. Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do przeprowadzenia ataku typu man-in-the-middle w połączeniu z zatruciem pamięci podręcznej DNS.
W kontrolerze NewsItemApiController w SimplCommerce przed commit 6233d73e występuje podatność na atak typu cross-site request forgery (CSRF), która pozwala nieautoryzowanemu zdalnemu atakującemu na tworzenie lub modyfikowanie elementów wiadomości jako administratora poprzez przesłanie spreparowanego formularza do `/api/news-items`, z powodu braku ochrony przed CSRF.

