Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
OpenProject przed wersjami 17.3.3 i 17.4.1 zawiera podatność polegającą na nieograniczonym atrybucie data-* w znacznikach <macro> w sanitizerze HTML. Atakujący może wstrzyknąć atrybut data-controller="poll-for-changes" do opisu pakietu roboczego, co powoduje zamontowanie kontrolera Stimulus.js, który pobiera załącznik przesłany przez atakującego i przekazuje go do renderStreamMessage(), wykonując dowolne akcje Turbo Stream, w tym przekierowanie do zewnętrznego serwera.
OpenProject to otwartoźródłowe oprogramowanie do zarządzania projektami oparte na sieci Web. Przed wersjami 17.3.3 i 17.4.1 zatrucie pamięci podręcznej prowadziło do zdalnego wykonania kodu (RCE).
W OpenProject przed wersjami 17.3.3 i 17.4.1 wykryto podatność IDOR (Insecure Direct Object Reference) w modułach Kalendarz i Planista Zespołu. Użytkownik z uprawnieniami zarządzania w jednym projekcie może usunąć publiczne zapytania tych modułów z innego projektu, do którego nie ma odpowiednich uprawnień.
W RustFS 1.0.0-beta.4 uwierzytelnieni użytkownicy z uprawnieniem PutObject na własnym zasobniku mogą wykorzystać podatność typu path traversal w funkcji automatycznego wyodrębniania Snowball do zapisywania dowolnych obiektów w zasobnikach innych użytkowników, całkowicie łamiąc izolację wielodostępową. Podatność łączy trzy błędy: brak sanityzacji ../ w normalizacji kluczy wpisów tar, dopasowywanie symboli wieloznacznych IAM na surowych (nieoczyszczonych) ścieżkach oraz czyszczenie ścieżek systemu plików rozwiązujące ../ poza granicami zasobników.
Podatność w OpenProject przed wersją 17.4.0 umożliwia ujawnienie danych prywatnych pakietów roboczych z powiązanego pakietu należącego do niedostępnego projektu poprzez żądanie GET do punktu końcowego API.
Podatność w OpenProject przed wersjami 17.3.3 i 17.4.1 umożliwia endpointowi journal diff ujawnianie ukrytych historycznych wartości pól bez sprawdzania widoczności obiektów i pól.
Oficjalny obraz Dockera OpenProject zawiera domyślny klucz SECRET_KEY_BASE=OVERWRITE_ME, co w połączeniu z serializatorem cookies :marshal umożliwia każdemu zalogowanemu użytkownikowi deterministyczną deserializację Marshal przez czytnik ciasteczek /my/two_factor_devices. Podatność została naprawiona w nowszej wersji.
Podatność w OpenProject przed wersją 17.4.0 umożliwia uwierzytelnionemu użytkownikowi odczytanie relacji oraz tytułów pakietów roboczych, do których nie ma uprawnień, poprzez endpoint GET /api/v3/relations. Problem wynika z błędnej optymalizacji wydajności w RelationQuery, która omija zakres widoczności Relation.visible.
W OpenProject przed wersjami 17.3.2 i 17.4.0, endpoint GET /api/v3/shares ujawnia szczegóły udostępnień dla wszystkich pakietów roboczych w projekcie każdemu użytkownikowi z uprawnieniem view_shared_work_packages. Autoryzacja działa tylko na poziomie projektu, nie weryfikując, czy żądający może faktycznie wyświetlić każdy indywidualny pakiet roboczy.
W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto brak autoryzacji w kontrolerze CostReportsController. Uwierzytelniony atakujący może zmienić nazwę, filtry i grupowanie dowolnego publicznego raportu kosztów, znając jego numeryczne ID, bez konieczności posiadania uprawnień właściciela.
W OpenProject przed wersjami 17.3.2 i 17.4.0 wykryto błąd logiki biznesowej w mechanizmie zmiany hasła. Poprzez żądanie PATCH do /api/v3/users/me możliwe jest ominięcie wymogów dotyczących siły hasła, co pozwala atakującemu na zmianę hasła użytkownika po przejęciu sesji.
OpenProject przed wersjami 17.3.2 i 17.4.0 zawiera podatność w punkcie końcowym aktualizacji dokumentów. Atrybuty kontrolowane przez atakującego są stosowane przed autoryzacją, co pozwala użytkownikowi bez uprawnień :manage_documents na przenoszenie i modyfikowanie dokumentów z innych projektów.
W OpenProject przed wersjami 17.3.2 i 17.4.0 funkcja filtrowania spotkań ujawnia, czy dane ID użytkownika należy do istniejącego konta, oraz wyświetla jego pełną nazwę. Pozwala to atakującemu na enumerację wszystkich kont poprzez sekwencyjne sprawdzanie ID i obserwację różnic w odpowiedziach serwera.
OpenProject przed wersją 17.4.0 używa konfiguracji Sanitize::Config::RELAXED[:css] do oczyszczania stylów inline w renderowaniu Markdown. Pozwala to uwierzytelnionym użytkownikom z prawem zapisu na wstrzykiwanie dowolnych właściwości CSS w polach tekstowych (np. opisy zadań, komentarze).
W urządzeniu Cudy LT300 w wersji oprogramowania starszej niż 2.5.12 występuje podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może wysłać złośliwe dane do parametru cbid.system.ntp.current w interfejsie konfiguracji czasu systemowego, co pozwala na zdalne wykonanie dowolnych poleceń.
Podatność w bibliotece Patool przed wersją 4.0.5 umożliwia przejście do dowolnego katalogu (path traversal) w funkcji safe_extract() w pliku patoolib/programs/py_tarfile.py, gdy działa na Pythonie przed wersją 3.12. Problem wynika z użycia os.path.commonprefix() do porównywania ścieżek na poziomie znaków zamiast na poziomie katalogów, co pozwala ominąć sprawdzenie containment check. Atakujący może dostarczyć złośliwe archiwum ze specjalnie spreparowanymi ścieżkami członków archiwum, aby zapisać dowolne pliki.
Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.
W Envoy od wersji 1.37.0 do 1.37.5 oraz 1.38.3 filtr HTTP OAuth2 może pozostawić oczekujące żądanie wymiany tokena po zamknięciu strumienia downstream. Opóźniona odpowiedź AsyncClient może wywołać metody OAuth2Filter na już zwolnionym obiekcie, prowadząc do niezdefiniowanego zachowania, awarii procesu roboczego (utrata dostępności) oraz błędów use-after-free/invalid-vptr. Podatność została naprawiona w wersjach 1.37.5 i 1.38.3.
Podatność w Envoy pozwala na awarię serwera proxy podczas używania formatu logu %REQUESTED_SERVER_NAME(X:Y)% z opcjami związanymi z hostem, gdy nagłówek hosta jest nieobecny w żądaniu. Problem występuje w wersjach od 1.37.0 do 1.37.5 oraz 1.38.3.
W Envoy od wersji 1.36.0 do 1.36.9, 1.37.5 i 1.38.3 występuje podatność Use-After-Free (UAF) w filtrze HTTP ext_authz. Problem pojawia się przy równoczesnym przetwarzaniu nadpisań autoryzacji na trasie i szybkim rozłączaniu klientów, co prowadzi do błędu segmentacji i awarii procesu.

