Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w LXD (wersje 6.0 przed 6.9, 5.21.0 przed 5.21.5 i 5.0.0 przed 5.0.7) umożliwia eskalację uprawnień poprzez obejście polityk ograniczeń projektu podczas przywracania migawek. Uwierzytelniony operator projektu w środowisku wielodostępnym może zaimportować złośliwą kopię zapasową instancji zawierającą ograniczone klucze konfiguracyjne w migawce, które po przywróceniu są stosowane bez walidacji.
W LXD do wersji 6.8 i 5.21 na systemie Linux występuje podatność polegająca na dereferencji wskaźnika zerowego w funkcji CreateCustomVolumeFromBackup. Uwierzytelniony użytkownik z uprawnieniami can_create_storage_volumes może spowodować odmowę usługi (DoS) poprzez przesłanie specjalnie spreparowanego archiwum kopii zapasowej woluminu niestandardowego, które pomija pole expires_at migawki.
Nieuwierzytelniony atakujący zdalnie może odczytać i wyeksfiltrować pamięć sterty serwera Ollama poprzez silnik kwantyzacji modeli, co prowadzi do ujawnienia poufnych danych.
W Docling przed wersją 2.94.0 stwierdzono niebezpieczne obsługiwanie URI i ścieżek w backendzie HTML. Luka ta może umożliwić atakującemu wykonanie nieautoryzowanych operacji na plikach lub zasobach sieciowych.
Podatność w oprogramowaniu jądra działającego w maszynie wirtualnej hosta pozwala na wysyłanie nieprawidłowych poleceń do oprogramowania układowego GPU, co może prowadzić do odczytu lub zapisu pamięci poza dozwolonym zakresem. Adresy przekazywane do oprogramowania układowego GPU mogą być wykorzystane do uzyskania bardziej uprzywilejowanego dostępu do pamięci niż jest to dozwolone przez system.
Podatność w bibliotece Docling w wersjach od 2.45.0 do 2.91.0 dotyczy braku kontroli bezpieczeństwa podczas parsowania XML w backendzie METS-GBS oraz wykrywania formatu dokumentów. Atakujący może stworzyć złośliwe archiwa METS-GBS, które po przetworzeniu mogą prowadzić do odczytu wrażliwych plików, wyczerpania zasobów systemowych lub awarii aplikacji.
Podatność w kompilatorze shaderów GPU pozwala na zapis poza dozwolonym obszarem pamięci poprzez załadowanie strony internetowej zawierającej specjalnie spreparowany kod shadera. W pewnych warunkach może to prowadzić do awarii (segmentation fault) kompilatora.
Podatność Broken Access Control w komponencie devLXDInstancePatchHandler oprogramowania Canonical LXD umożliwia niezaufanemu gościowi zamontowanie, odczytanie i nadpisanie niestandardowego woluminu pamięci masowej innego gościa za pomocą spreparowanego żądania PATCH do /dev/lxd, gdy włączona jest opcja security.devlxd.management.volumes.
Sterownik jądra ProcessMonitorDriver.sys w kliencie endpoint Safetica dla systemów x64 w wersjach 10.5.75.0 i 11.11.4.0 umożliwia nieuprzywilejowanemu użytkownikowi nadużycie ścieżki IOCTL i zakończenie chronionych procesów systemowych.
Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.
Podatność w domyślnej maszynie JVM umożliwia dostęp do plików i katalogów w `/tmp/`, w tym do katalogów tymczasowych innych użytkowników na tym samym instancji chmurowej. Atakujący mający dostęp do współdzielonego `/tmp/` może przed uruchomieniem JVM ofiary utworzyć lub podmienić pliki `.jar` lub katalogi (poprzez plik `-init`), które zostaną załadowane jako pierwsze w classpath. W rezultacie może dojść do wykonania złośliwego kodu podczas startu JVM.
Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Pozwala to na wprowadzenie dowolnej wiadomości, co może prowadzić do naruszenia integralności danych.
Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Może to prowadzić do naruszenia integralności danych poprzez wprowadzenie dowolnej wiadomości.
Podatność w pluginach Mattermost w wersjach do 11.6, 10.18.11, 11.3.6 i 11.6.5.0 polega na braku oczyszczania odpowiedzi błędów z API OpenAI przed ich zapisaniem w logach. Umożliwia to użytkownikowi mającemu dostęp do logów serwera lub pakietów wsparcia odczytanie lub częściowe odtworzenie klucza API OpenAI poprzez analizę wpisów w pliku mattermost.log generowanych podczas nieudanych uwierzytelnień.
Wtyczka Groundhogg dla WordPress w wersji 4.5 i starszych zawiera podatność na wstrzykiwanie SQL w module przedstawiciela handlowego. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanych zapytań do bazy danych.
Podatność typu Insecure Direct Object References (IDOR) w wtyczce GravityView w wersjach do 3.0.0 umożliwia nieuwierzytelnionemu atakującemu dostęp do prywatnych danych. Luka wynika z braku weryfikacji uprawnień przy odwołaniach do obiektów.
Podatność wtyczki Bopo – WooCommerce Product Bundle Builder w wersji 1.1.6 i starszych umożliwia nieuwierzytelnionym atakującym dostęp do wrażliwych danych. Luka wynika z braku odpowiedniego zabezpieczenia endpointów API lub mechanizmów ekspozycji danych.
Wtyczka Recipe Maker For Your Food Blog od Zip Recipes w wersji 8.2.7 i starszych zawiera podatność na wstrzykiwanie SQL przez współtwórcę (Contributor SQL Injection).
Podatność na wstrzykiwanie SQL w komponencie Contributor wtyczki Contest Gallery w wersjach do 30.0.0. Umożliwia atakującemu manipulację zapytaniami do bazy danych poprzez nieprawidłowo zabezpieczone dane wejściowe.
Wtyczka WPComplete w wersjach do 2.9.5.5 zawiera podatność polegającą na złamaniu kontroli dostępu przez subskrybenta. Użytkownik z rolą subskrybenta może uzyskać nieautoryzowany dostęp do funkcji przeznaczonych dla wyższych ról.

