Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
OpenClaw przed wersją 2026.4.7 zawiera podatność na odczyt dowolnych plików w funkcji wczytywania pamięci wiki, która pozwala uwierzytelnionym operatorom bramy z zakresem operator.write na odczyt lokalnych plików poza zamierzonymi źródłami wczytywania. Atakujący z dostępem operator.write mogą określać dowolne lokalne ścieżki plików do importu treści plików do pamięci wiki, omijając ograniczenia dostępu.
OpenClaw przed wersją 2026.4.24 zawiera podatność na unieważnienie tokenów, która pozwala na kontynuowanie wykonywania poleceń przez użytkowników z unieważnionymi tokenami slash podczas okien odświeżania monitora. Atakujący mogą wykorzystać akceptację przestarzałych tokenów do wywołania zachowania poleceń slash krótko po unieważnieniu tokena.
OpenClaw przed wersją 2026.5.12 zawiera lukę umożliwiającą obejście listy zakazów wykonywania w ścieżce sesji MCP loopback, co pozwala uwierzytelnionym użytkownikom na ominięcie zamierzonych ograniczeń poleceń.
Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę w funkcji getRedirectURL, która tworzy URL zwrotny OAuth2 bez walidacji nagłówka Host. Może to prowadzić do wstrzyknięcia nagłówka hosta.
Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.
Nezha Monitoring w wersjach od 2.0.14 do przed 2.1.0 pozwala na akceptację i przechowywanie nieistniejących identyfikatorów ddns_profiles dla serwera należącego do użytkownika. W przypadku, gdy inny użytkownik utworzy profil DDNS z jednym z tych identyfikatorów, może to prowadzić do wykorzystania konfiguracji profilu DDNS innego użytkownika w kontekście serwera napastnika.
Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.14 do przed 2.1.0, uwierzytelnieni użytkownicy mogą przejąć kontrolę nad panelem Host poprzez NAT, co pozwala na przejęcie całej routingu panelu.
Nezha Monitoring to narzędzie do monitorowania serwerów i stron internetowych. W wersjach od 2.0.0 do przed 2.0.14, prywatne usługi były widoczne poprzez punkty końcowe dla poszczególnych serwerów, co prowadziło do wycieku danych o nazwach i czasach.
Nezha Monitoring przed wersją 2.0.10 pozwala uwierzytelnionym użytkownikom na tworzenie lub aktualizację profilu DDNS z dowolnym webhook_url, co prowadzi do podatności typu SSRF. Użytkownicy z niskimi uprawnieniami mogą wysyłać żądania HTTP do wewnętrznych usług sieciowych.
Nezha Monitoring w wersjach od 1.4.0 do przed 2.0.9 pozwala na dostęp do WebSocket z informacjami o statusie serwera przez uwierzytelnionych użytkowników niebędących administratorami. Użytkownicy ci mogą otrzymywać dane telemetryczne dotyczące wszystkich serwerów, w tym tych należących do innych użytkowników.
Atakujący może współdzielić dane między procesami GPU w trybie zabezpieczonym poprzez wspólne alokacje pamięci w module jądra. Może to prowadzić do uszkodzenia obrazu lub konieczności odzyskiwania sprzętu GPU.
W systemie CodeAstro Human Resource Management System 1.0 wykryto podatność na iniekcję SQL w module faktur płacowych. Luka występuje w funkcji Invoice pliku Payroll.php, gdzie argument ID jest podatny na manipulację. Atak może być przeprowadzony zdalnie, a publicznie dostępny exploit umożliwia jego wykorzystanie.
Podatność typu przepełnienie stosu w programie Avast Antivirus podczas skanowania źle sformatowanego pliku Office Open XML może prowadzić do awarii procesu antywirusowego.
W podatności CVE-2025-7018 występuje dereferencja wskaźnika null w silniku Avira Antivirus podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu silnika antywirusowego.
Podatność na przepełnienie stosu spowodowana niekontrolowaną rekurencją w programie Avast Antivirus podczas skanowania źle sformatowanego pliku PDF może prowadzić do awarii procesu antywirusowego.
Podatność w Avast Antivirus polega na użyciu pamięci stosu po jej zwolnieniu podczas skanowania źle sformatowanego pliku PE Windows, co może prowadzić do awarii procesu antywirusowego.
W Avast Antivirus występuje podatność na niekontrolowaną rekurencję podczas skanowania źle sformatowanego pliku PE systemu Windows, co może prowadzić do awarii procesu antywirusowego.
Podatność w MISP umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami edycji zdarzeń manipulowanie danymi formularza i przypisanie zdarzenia do grupy udostępniania, do której nie ma uprawnień. Problem występuje w ścieżce edycji zdarzeń, która nie stosuje odpowiednich kontroli autoryzacji.
Występuje podatność na ujawnienie informacji w funkcjonalności edycji AuthKey w MISP. Podczas wystąpienia błędu walidacji w żądaniu edycji AuthKey, lista użytkowników była wypełniana wartością AuthKey.user_id kontrolowaną przez atakującego, co umożliwiało enumerację adresów e-mail użytkowników.
MISP zawiera podatność na refleksyjny atak typu cross-site scripting w widoku indeksu zdarzeń UiBeta. Wartość urlparams jest wstawiana do wewnętrznego handlera JavaScript, co pozwala atakującemu na wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

