Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
AVideo to platforma do udostępniania wideo. W wersjach przed 8.0 występuje podatność typu Server-Side Request Forgery (CWE-918) w publicznych punktach końcowych thumbnail, getImage.php i getImageMP4.php, które akceptują parametr GET base64Url i przekazują go do ffmpeg bez wymogu uwierzytelnienia.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów opartych na AI. W wersjach przed 1.9.0, punkt końcowy POST /api/v1/build_public_tmp/{flow_id}/flow pozwalał na budowanie publicznych przepływów bez wymogu uwierzytelnienia, co prowadziło do możliwości zdalnego wykonania kodu przez nieautoryzowanych użytkowników.
Wtyczka Aimogen Pro dla WordPressa jest podatna na wywołanie dowolnej funkcji, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji 'aiomatic_call_ai_function_realtime' we wszystkich wersjach do 2.7.5 włącznie. Umożliwia to nieautoryzowanym atakującym wywoływanie dowolnych funkcji WordPressa, takich jak 'update_option'.
PJSIP to darmowa i otwarta biblioteka komunikacji multimedialnej napisana w C. Wersje 2.16 i poniżej mają podatność na przepełnienie bufora w sterowniku długości nazwy analizatora DNS, co wpływa na aplikacje korzystające z wbudowanego resolvera DNS PJSIP.
SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i starszych, SanitizeSVG ma niekompletną listę blokowania, co pozwala na wykonanie JavaScriptu poprzez SVG z wykorzystaniem nieodpowiednio zablokowanych typów MIME.
SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, punkt końcowy /api/lute/html2BlockDOM na komputerze lokalnym kopiuje pliki lokalne wskazywane przez linki file:// wklejonego HTML do katalogu zasobów roboczych bez walidacji ścieżek względem listy wrażliwych ścieżek.
Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej zawiera podatność XSS typu stored w selektorze użytkowników Jellyseerr. Umożliwia to dowolnemu posiadaczowi konta wykonanie arbitralnego kodu JavaScript w sesji przeglądarki administratora Anchorr.
Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej ma podatność na przechowywane Cross-site Scripting (XSS) w rozwijanym menu User Mapping w panelu webowym. Umożliwia to nieuprzywilejowanym użytkownikom Discorda wykonanie dowolnego kodu JavaScript w przeglądarce administratora Anchorr.
Podatność w produkcie Oracle Identity Manager oraz Oracle Web Services Manager w ramach Oracle Fusion Middleware umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP przejęcie kontroli nad tymi systemami. Dotknięte wersje to 12.2.1.4.0 oraz 14.1.2.1.0.
Admidio to otwarte rozwiązanie do zarządzania użytkownikami. W wersjach od 5.0.0 do 5.0.6 moduł dokumentów i plików nie weryfikuje, czy bieżący użytkownik ma uprawnienia do usuwania folderów lub plików, co pozwala na ich usunięcie przez nieautoryzowanych użytkowników.
Komponent monitorowania CTFer.io odpowiada za zbieranie, przetwarzanie i przechowywanie różnych sygnałów, takich jak logi, metryki i rozproszone ślady. W wersjach przed 0.2.2 funkcja sanitizeArchivePath jest podatna na atak typu Path Traversal, co pozwala na dowolne zapisywanie plików, w tym nadpisywanie konfiguracji powłoki, kluczy SSH, kubeconfig czy crontabów.
Fullchain to projekt do wdrażania gotowej platformy CTF. W wersjach przed 0.1.1, z powodu błędnie napisanej polityki sieciowej, złośliwy aktor może przejść z podbitej aplikacji do dowolnego Pod w innym namespace, co prowadzi do potencjalnego ruchu lateralnego.
SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i niższych występuje luka w autoryzacji w punkcie końcowym /api/search/fullTextSearchBlock, która pozwala na wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników, w tym tych z rolą Czytelnika.
Wersje Xerte Online Toolkits 3.14 i wcześniejsze zawierają podatność na nieautoryzowane przesyłanie plików w funkcjonalności importu szablonów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego archiwum ZIP z złośliwymi ładunkami PHP. Atakujący mogą obejść kontrole autoryzacji w pliku import.php, aby przesłać archiwum szablonu z kodem PHP w katalogu mediów.
File Browser to interfejs zarządzania plikami, który w wersjach 2.61.2 i poniżej pozwala na rejestrację pełnego konta administratora przez nieautoryzowanych użytkowników, gdy opcja samodzielnej rejestracji jest włączona. Handler rejestracji nie ma zabezpieczeń, które uniemożliwiają nadawanie uprawnień administratora nowym użytkownikom.
W SuiteCRM 7.15.0 i 8.9.2 występuje krytyczna podatność na zdalne wykonanie kodu (RCE), która pozwala uwierzytelnionym administratorom na wykonywanie dowolnych poleceń systemowych. Jest to bezpośrednie obejście poprawki CVE-2024-49774, a problem dotyczy błędnego przetwarzania tokenów PHP w pliku ModuleScanner.php.
W aplikacjach korzystających z Spring Security istnieje problem z zapisywaniem nagłówków HTTP w odpowiedziach serwletów. Dotyczy to aplikacji, które używają leniwego zapisywania nagłówków HTTP w wersjach od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.
FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. Wersje 1.8.208 i wcześniejsze są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez szablony powiadomień e-mail, co pozwala na wstrzyknięcie złośliwego kodu przez nieautoryzowanych użytkowników.
SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, mobilne drzewo plików (MobileFiles.ts) renderuje nazwy notatników za pomocą innerHTML bez ucieczki HTML podczas przetwarzania zdarzeń WebSocket renamenotebook. Użytkownik z odpowiednimi uprawnieniami może wstrzyknąć dowolny kod HTML/JavaScript, który zostanie wykonany na każdym mobilnym kliencie przeglądającym drzewo plików.
W Microsoft Bing Images występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach, co prowadzi do podatności na wstrzyknięcie poleceń ('command injection'). Umożliwia to nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

