Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-52784
Wysokie

W OpenProject przed wersjami 17.3.3 i 17.4.1 występuje podatność CSRF na ścieżce /users/:id przez parametr POST user[admin]. Atakujący może wykorzystać tę lukę do nieautoryzowanej zmiany uprawnień administratora.

CVE-2026-52783
Wysokie

OpenProject w wersjach przed 17.3.3 i 17.4.1 przechowuje token OAuth dostępu do OneDrive/SharePoint w postaci jawnego tekstu w pamięci podręcznej Rails.cache pod deterministycznym kluczem. Token jest regularnie odświeżany przez zadanie cron i wywołania OAuth, a żaden z dozwolonych backendów cache (file_store, memcache, redis) nie szyfruje danych w spoczynku.

CVE-2026-52782
Krytyczne

W OpenProject przed wersjami 17.3.3 i 17.4.1 wykryto podatność IDOR w endpointcie /projects/<A>/settings/project_storages/<A_ps_id> przez parametr PATCH "storages_project_storage[project_folder_id]". Administrator projektu może przejąć zarządzany folder Nextcloud lub OneDrive innego projektu na tym samym magazynie, co prowadzi do nieautoryzowanego dostępu do zasobów.

CVE-2026-52781
Średnie

OpenProject przed wersjami 17.3.3 i 17.4.1 zawiera podatność polegającą na nieograniczonym atrybucie data-* w znacznikach <macro> w sanitizerze HTML. Atakujący może wstrzyknąć atrybut data-controller="poll-for-changes" do opisu pakietu roboczego, co powoduje zamontowanie kontrolera Stimulus.js, który pobiera załącznik przesłany przez atakującego i przekazuje go do renderStreamMessage(), wykonując dowolne akcje Turbo Stream, w tym przekierowanie do zewnętrznego serwera.

CVE-2026-52780
Krytyczne

OpenProject to otwartoźródłowe oprogramowanie do zarządzania projektami oparte na sieci Web. Przed wersjami 17.3.3 i 17.4.1 zatrucie pamięci podręcznej prowadziło do zdalnego wykonania kodu (RCE).

CVE-2026-52779
Średnie

W OpenProject przed wersjami 17.3.3 i 17.4.1 wykryto podatność IDOR (Insecure Direct Object Reference) w modułach Kalendarz i Planista Zespołu. Użytkownik z uprawnieniami zarządzania w jednym projekcie może usunąć publiczne zapytania tych modułów z innego projektu, do którego nie ma odpowiednich uprawnień.

CVE-2026-49991
Wysokie

W RustFS 1.0.0-beta.4 uwierzytelnieni użytkownicy z uprawnieniem PutObject na własnym zasobniku mogą wykorzystać podatność typu path traversal w funkcji automatycznego wyodrębniania Snowball do zapisywania dowolnych obiektów w zasobnikach innych użytkowników, całkowicie łamiąc izolację wielodostępową. Podatność łączy trzy błędy: brak sanityzacji ../ w normalizacji kluczy wpisów tar, dopasowywanie symboli wieloznacznych IAM na surowych (nieoczyszczonych) ścieżkach oraz czyszczenie ścieżek systemu plików rozwiązujące ../ poza granicami zasobników.

CVE-2026-49355
Średnie

Podatność w OpenProject przed wersją 17.4.0 umożliwia ujawnienie danych prywatnych pakietów roboczych z powiązanego pakietu należącego do niedostępnego projektu poprzez żądanie GET do punktu końcowego API.

CVE-2026-47193
Wysokie

Podatność w OpenProject przed wersjami 17.3.3 i 17.4.1 umożliwia endpointowi journal diff ujawnianie ukrytych historycznych wartości pól bez sprawdzania widoczności obiektów i pól.

CVE-2026-46386
Krytyczne

Oficjalny obraz Dockera OpenProject zawiera domyślny klucz SECRET_KEY_BASE=OVERWRITE_ME, co w połączeniu z serializatorem cookies :marshal umożliwia każdemu zalogowanemu użytkownikowi deterministyczną deserializację Marshal przez czytnik ciasteczek /my/two_factor_devices. Podatność została naprawiona w nowszej wersji.

CVE-2026-44736
Średnie

Podatność w OpenProject przed wersją 17.4.0 umożliwia uwierzytelnionemu użytkownikowi odczytanie relacji oraz tytułów pakietów roboczych, do których nie ma uprawnień, poprzez endpoint GET /api/v3/relations. Problem wynika z błędnej optymalizacji wydajności w RelationQuery, która omija zakres widoczności Relation.visible.

CVE-2026-44735
Średnie

W OpenProject przed wersjami 17.3.2 i 17.4.0, endpoint GET /api/v3/shares ujawnia szczegóły udostępnień dla wszystkich pakietów roboczych w projekcie każdemu użytkownikowi z uprawnieniem view_shared_work_packages. Autoryzacja działa tylko na poziomie projektu, nie weryfikując, czy żądający może faktycznie wyświetlić każdy indywidualny pakiet roboczy.

CVE-2026-44734
Średnie

W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto brak autoryzacji w kontrolerze CostReportsController. Uwierzytelniony atakujący może zmienić nazwę, filtry i grupowanie dowolnego publicznego raportu kosztów, znając jego numeryczne ID, bez konieczności posiadania uprawnień właściciela.

CVE-2026-44733
Średnie

W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto błąd logiki biznesowej w mechanizmie zmiany hasła. Poprzez żądanie PATCH do /api/v3/users/me możliwe jest ominięcie wymogów dotyczących siły hasła, co pozwala atakującemu na zmianę hasła użytkownika po przejęciu sesji.

CVE-2026-44732
Średnie

OpenProject przed wersjami 17.3.2 i 17.4.0 zawiera podatność w punkcie końcowym aktualizacji dokumentów. Atrybuty kontrolowane przez atakującego są stosowane przed autoryzacją, co pozwala użytkownikowi bez uprawnień :manage_documents na przenoszenie i modyfikowanie dokumentów z innych projektów.

CVE-2026-44731
Średnie

W OpenProject przed wersjami 17.3.2 i 17.4.0 funkcja filtrowania spotkań ujawnia, czy dane ID użytkownika należy do istniejącego konta, oraz wyświetla jego pełną nazwę. Pozwala to atakującemu na enumerację wszystkich kont poprzez sekwencyjne sprawdzanie ID i obserwację różnic w odpowiedziach serwera.

CVE-2026-44696
Średnie

OpenProject przed wersją 17.4.0 używa konfiguracji Sanitize::Config::RELAXED[:css] do oczyszczania stylów inline w renderowaniu Markdown. Pozwala to uwierzytelnionym użytkownikom z prawem zapisu na wstrzykiwanie dowolnych właściwości CSS w polach tekstowych (np. opisy zadań, komentarze).

CVE-2026-32833
WysokieEPSS 68%

W urządzeniu Cudy LT300 w wersji oprogramowania starszej niż 2.5.12 występuje podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wysłać złośliwe dane do parametru cbid.system.ntp.current w interfejsie konfiguracji czasu systemowego, co pozwala na zdalne wykonanie dowolnych poleceń.

CVE-2026-29509
Średnie

Podatność w bibliotece Patool przed wersją 4.0.5 umożliwia przejście do dowolnego katalogu (path traversal) w funkcji safe_extract() w pliku patoolib/programs/py_tarfile.py, gdy działa na Pythonie przed wersją 3.12. Problem wynika z użycia os.path.commonprefix() do porównywania ścieżek na poziomie znaków zamiast na poziomie katalogów, co pozwala ominąć sprawdzenie containment check. Atakujący może dostarczyć złośliwe archiwum ze specjalnie spreparowanymi ścieżkami członków archiwum, aby zapisać dowolne pliki.

CVE-2026-54753
ŚrednieEPSS 52%

Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.

PoprzedniaStrona 118 z 4485Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS