Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Problem z dostępem został rozwiązany poprzez dodatkowe ograniczenia w piaskownicy. Został naprawiony w macOS Tahoe 26.1.
Problem ten został rozwiązany poprzez poprawione zarządzanie dowiązaniami symbolicznymi. Aplikacja może uzyskać dostęp do chronionych danych użytkownika.
Problem z prywatnością został rozwiązany poprzez usunięcie podatnego kodu. Problem ten został naprawiony w macOS Sequoia 15.4.
Problem został rozwiązany poprzez poprawę kontroli. Został naprawiony w macOS Sequoia 15.4, macOS Sonoma 14.7.5 oraz macOS Ventura 13.7.5.
Problem z analizą ścieżek katalogów został rozwiązany poprzez poprawioną walidację ścieżek. Aplikacja może mieć możliwość dostępu do wrażliwych danych użytkownika.
Problem z uprawnieniami został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
aiograpi to asynchroniczne API Instagramu dla Pythona. W wersjach przed 0.9.10 akceptowano ścieżki wyzwań dostarczane przez serwer, co mogło prowadzić do budowania adresów URL żądań bez wcześniejszej walidacji, co stwarzało ryzyko ataków.
Wtyczka Fediverse Embeds przed wersją 1.5.9 miała lukę, która pozwalała na nieautoryzowane wywołanie akcji AJAX wp_ajax_nopriv_ftf_get_site_info, umożliwiając atakującym pobieranie informacji z zewnętrznych adresów URL.
W składniku admin-ui-ext Keycloak znaleziono lukę, która dotyczy usuwania ról w trybie zbiorczym. Problemy z kontrolą uprawnień umożliwiają administratorowi z ograniczonymi uprawnieniami usunięcie ról o wysokich uprawnieniach z kont innych użytkowników lub grup.
Axios, klient HTTP oparty na obietnicach, przed wersjami 0.32.0 i 1.16.0, narażony był na ataki związane z zanieczyszczeniem prototypów. W wyniku tego, zanieczyszczone wartości mogły być cicho przechwytywane i wykorzystywane w nagłówkach żądań.
PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie dokumentu JSON z złośliwym kodem w określonej parze klucz-wartość. Jeśli superużytkownik wywoła funkcje import_database_rules() lub import_roles_rules(), złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.
IBM DevOps Plan w wersjach od 3.0.0 do 3.0.6 jest podatny na wstrzykiwanie nagłówków HTTP z powodu niewłaściwej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zanieczyszczenie pamięci podręcznej lub przejęcie sesji.
IBM Langflow Desktop w wersjach od 1.0.0 do 1.9.2 jest podatny na atak typu server-side request forgery (SSRF). Umożliwia to uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.
IBM Security QRadar EDR w wersjach od 3.12 do 3.12.24 przechowuje dane uwierzytelniające użytkowników w postaci niezaszyfrowanej, co umożliwia ich odczyt przez lokalnego użytkownika z uprawnieniami.
Podatność CVE-2026-6338 dotyczy smugglingu żądań HTTP oraz desynchronizacji w serii Kong Gateway Enterprise 3.4, 3.10, 3.11, 3.12, 3.13 i 3.14. Problem wynika z błędu parsowania w procesie przetwarzania żądań HTTP przez Kong, gdy obsługiwany jest niezaufany ruch HTTP/1.1.
Guzzle Services przed wersją 1.5.4 ma problem z bezpiecznym serializowaniem wartości elementów XML zawierających terminator CDATA `]]>`. Atakujący może wprowadzić złośliwe dane, co prowadzi do niezamierzonego zakończenia sekcji CDATA i interpretacji pozostałej części jako znaczników XML.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 nie odrzucała znaków kontrolnych ASCII, białych znaków ani DEL w komponentach hosta URI. To może prowadzić do wstrzykiwania dodatkowych nagłówków przez atakującego, co stwarza ryzyko dla aplikacji korzystających z kontrolowanych przez użytkownika URL.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 zawiera niewłaściwą walidację nagłówka Host, co może prowadzić do nieprawidłowego przetwarzania URI w żądaniach HTTP. Atakujący może wprowadzić złośliwy nagłówek Host, co skutkuje różnicą między oryginalną wartością a wartością URI hosta.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 18.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł odczytać dowolne pliki z serwera Gitaly oraz uzyskać dostęp do zasobów wewnętrznej sieci podczas importu repozytoriów, z powodu niewystarczającej walidacji drugorzędnych adresów URL.
GitLab naprawił problem w GitLab EE, który dotyczy wszystkich wersji od 13.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami roli Menedżera Bezpieczeństwa mógł zarządzać konfiguracją bezpieczeństwa projektu, nawet gdy odpowiednia funkcja była wyłączona, z powodu nieprawidłowego egzekwowania autoryzacji.

