Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4, każdy uwierzytelniony użytkownik mógł zresetować proces wprowadzania dla wszystkich użytkowników w systemie.
OpenTelemetry-cpp przed wersją 1.27.0 ma podatność, w której eksportery OTLP HTTP (śladów/metryk/logów) odczytują pełną odpowiedź HTTP do wektora bajtów w pamięci bez ograniczenia rozmiaru. Może to prowadzić do wyczerpania pamięci, gdy skonfigurowany punkt końcowy kolektora jest kontrolowany przez atakującego.
Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał brak walidacji w punkcie końcowym 'submit_discussion()', co umożliwiało nieautoryzowany dostęp do zasobów.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.0 i 16.17.0 występowała podatność IDOR, która pozwalała uwierzytelnionym użytkownikom na dostęp do szczegółów konfiguracji e-mail innych użytkowników.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 istniała możliwość enumeracji schematu bazy danych poprzez wykorzystanie jednego z punktów końcowych. Problem ten został naprawiony w wersjach 15.107.2 i 16.17.4.
W Devolutions PowerShell Universal w wersji 2026.1.7 i wcześniejszych występuje niewłaściwa kontrola dostępu, która pozwala nieautoryzowanemu zdalnemu atakującemu na uzyskanie specyfikacji OpenAPI zdefiniowanych przez użytkownika punktów końcowych REST.
Framework Nuxt przed wersjami 3.21.7 i 4.4.7 nie weryfikował schematu URL dla wartości przypisanych do atrybutów to lub href komponentu <NuxtLink>. Umożliwia to atakującym wstrzykiwanie złośliwych skryptów, co prowadzi do refleksyjnego ataku XSS.
Frappe to framework aplikacji webowych, w wersjach przed 15.106.0 i 16.16.0 występowała podatność na przechowywane XSS w module Note z powodu braku sanitizacji. Problem został naprawiony w wersjach 15.106.0 i 16.16.0.
Netty, framework do aplikacji sieciowych, przed wersjami 4.1.135.Final i 4.2.15.Final, nie ogranicza liczby aktywnych strumieni w HTTP/2, co może prowadzić do nadmiernego zużycia zasobów. Brak domyślnego limitu na maksymalną liczbę strumieni może skutkować tworzeniem setek tysięcy obiektów strumieni w pojedynczym połączeniu TCP.
vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.11.4, NodeVM udostępnia niektóre wbudowane funkcje obserwacji, które mogą być używane przez kod w piaskownicy do obserwacji danych aplikacji hosta.
Netty, framework do aplikacji sieciowych, przed wersjami 4.1.135.Final i 4.2.15.Final, używał przewidywalnego PRNG do generowania identyfikatorów transakcji DNS oraz domyślnie statycznego portu źródłowego UDP. To połączenie zmniejsza entropię zapytań DNS, co umożliwia atak typu DNS Cache Poisoning.
W wersjach przed 4.1.135.Final i 4.2.15.Final frameworku Netty występuje podatność związana z nieprawidłowym przetwarzaniem komunikatów SCM_RIGHTS, co prowadzi do wycieku deskryptorów plików. W wyniku błędnej obsługi długości komunikatu, dwa deskryptory plików mogą zostać zainstalowane w procesie odbierającym, ale nie zostaną zamknięte.
Frappe to framework aplikacji webowych. Przed wersją 15.106.0 występowała podatność typu XSS, która pozwalała atakującemu na wykonanie złośliwych skryptów w przeglądarkach innych użytkowników poprzez sekcję obrazu profilu użytkownika.
Frappe to framework aplikacji webowych. Przed wersjami 15.106.0 i 16.16.0 istniała możliwość wstrzyknięcia SQL poprzez funkcję get_blog_list. Problem ten został naprawiony w wersjach 15.106.0 i 16.16.0.
Nuxt to otwartoźródłowy framework do tworzenia aplikacji webowych oparty na Vue.js. W wersjach @nuxt/rspack-builder i @nuxt/webpack-builder od 3.15.4 do przed 3.21.7 oraz od 4.0.0 do przed 4.4.7 występuje niekompletna poprawka dla GHSA-6m52-m754-pw2g, co może prowadzić do kradzieży kodu źródłowego podczas pracy dewelopera.
W Nuxt w wersjach od 3.11.0 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6, a także w @nuxt/nitro-server w wersjach od 3.20.0 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6, włączona opcja experimental.componentIslands powodowała, że pliki .server.vue w katalogu pages/ były automatycznie rejestrowane jako serwerowe wyspy. Żądania przez endpoint /__nuxt_island/:name renderowały komponent strony bez uruchamiania Vue Router, co skutkowało brakiem działania middleware tras.
W Nuxt w wersjach od 3.1.0 do przed 3.21.6 oraz od 4.0.0-alpha.1 do przed 4.4.6, a także w @nuxt/nitro-server w wersjach od 3.20.0 do przed 3.21.6 oraz od 4.0.0-alpha.1 do przed 4.4.6, punkt końcowy /__nuxt_island/* akceptuje parametry zapytania/ciała kontrolowane przez atakującego i renderuje komponenty wysp bez weryfikacji, czy hasz URL (<Name>_<hashId>.json) został rzeczywiście wydany dla tych danych wejściowych. Problem ten został naprawiony w wersjach 3.21.6 i 4.4.6.
W wersjach @nuxt/rspack-builder i @nuxt/webpack-builder od 3.15.4 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6 występuje niekompletna poprawka dla GHSA-4gf7-ff8x-hq99. Kod źródłowy może zostać skradziony podczas pracy dewelopera, gdy serwer deweloperski jest powiązany z adresem innym niż loopback.
Nuxt to framework do tworzenia aplikacji webowych, który w wersjach od 3.4.3 do przed 3.21.6 oraz 4.0.0-alpha.1 do przed 4.4.6 ma problem z funkcją navigateTo(). Przy użyciu external: true generuje ona przekierowanie HTML z tagiem <meta http-equiv="refresh">, co pozwala na wstrzyknięcie złośliwego kodu.
System przechowuje nazwę użytkownika i hasło z formularza logowania po przesłaniu żądania. Może to umożliwić atakującemu z dostępem do platformy powrót do przeglądarki i wyświetlenie danych logowania.

