Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub uszkodzenia pamięci jądra. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.
Podatność w Alexantr filemanager v.1.0 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent filemanager.php. Problem wynika z braku odpowiedniego zabezpieczenia przed wstrzykiwaniem kodu.
W Squidex CMS w wersji 7.21.0 i wcześniejszych wykryto podatność na Cross-Site Request Forgery (CSRF). Atakujący może wykorzystać endpoint profilu konta IdentityServer do eskalacji uprawnień bez wiedzy ofiary.
Podatność w Safari i systemach Apple umożliwia dostęp poza zakresem pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawione sprawdzanie granic w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.
Niespójna interpretacja żądań HTTP/2 w AWS Application Load Balancer z włączonym AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści reguł zarządzanych AWS WAF poprzez spreparowane żądania HTTP/2, które fragmentują treść żądania między ramkami, co powoduje inspekcję tylko częściowej treści. Problem dotyczy tylko grup docelowych ALB dla HTTP/2.
Niespójna interpretacja żądań HTTP/2 w Amazon CloudFront z włączoną usługą AWS WAF może umożliwić zdalnym atakującym ominięcie inspekcji treści zarządzanych reguł AWS WAF poprzez wysyłanie spreparowanych żądań HTTP/2, które fragmentują treść żądania między ramkami, tak że inspekcja obejmuje tylko jej część.
Podatność w bibliotece CSS::Minifier::XS dla Perla przed wersją 0.14 powoduje wyciek pamięci podczas minifikacji dokumentu zawierającego tylko znaki do usunięcia, takie jak komentarze i białe znaki.
To zgłoszenie CVE zostało odrzucone. Jest duplikatem rezerwacji CVE-2026-57700 i nie powinno być używane.
Podatność w luci-proto-openvpn do wersji 0.11.1 (załatana w commicie e4ff45e) umożliwia wstrzyknięcie poleceń powłoki w metodzie generateKey ubus. Parametr cl_meta jest interpolowany do polecenia powłoki bez odpowiedniego escapowania, co pozwala uwierzytelnionemu użytkownikowi LuCI z dostępem do konfiguracji OpenVPN na wykonanie dowolnych poleceń jako root przez funkcję popen.
Podatność w luci-app-tailscale-commons pozwala uwierzytelnionym użytkownikom na wykonanie dowolnych poleceń jako root przez metodę RPC tailscale.do_login. Problem wynika z nieprawidłowego cytowania parametrów loginserver i loginserver_authkey w podwójnie cudzysłowionym poleceniu powłoki, co umożliwia interpretację podstawień powłoki, takich jak $().
Podatność w bibliotece mdex i mdex_native pozwala nieuwierzytelnionemu atakującemu na przeprowadzenie ataku DoS poprzez nieograniczoną alokację pamięci. Funkcja parse_highlight_lines w komponencie LumisAdapter rozszerza zakres linii z bloku kodu bez kontroli górnego limitu, co prowadzi do alokacji ogromnych wektorów. Wystarczy przesłać Markdown z zakresem 1-2000000000, aby wyczerpać pamięć hosta i zatrzymać proces BEAM.
W bibliotece MDEx wykryto podatność na ataki XSS (stored i reflected) poprzez nieprawidłową neutralizację danych wejściowych w Markdown. Atakujący może wstrzyknąć dowolny kod HTML/JavaScript, który wykona się w przeglądarce każdego użytkownika wyświetlającego przetworzoną treść.
W bibliotece p11-kit odkryto podatność polegającą na braku ograniczenia głębokości rekurencji w funkcjach przetwarzania atrybutów wiadomości RPC. Atakujący z lokalnym dostępem do gniazda domeny Unix może wysłać specjalnie spreparowane żądanie z głęboko zagnieżdżonymi atrybutami szablonów, co prowadzi do wyczerpania stosu i awarii serwera p11-kit oraz zależnych od niego usług.
Podatność w systemie Hi.Events do wersji 1.9.0 umożliwia nieuwierzytelnionym atakującym dostęp do pełnych list uczestników, w tym adresów e-mail i danych osobowych, poprzez publiczne punkty końcowe list kontrolnych. Wykorzystując znajomość identyfikatora short_id, atakujący może odczytać dane uczestników oraz tworzyć lub usuwać rekordy kontrolne bez autoryzacji.
Podatność w systemie Hi.Events do wersji 1.9.0 umożliwia wielokrotne wykorzystanie ograniczonych kodów promocyjnych. Mechanizm walidacji sprawdza licznik użycia przed asynchronicznym zadaniem aktualizującym stan, co pozwala na sekwencyjne rezerwowanie wielu zamówień z tym samym kodem, każde z licznikiem równym 0.
Mixpost do wersji 2.6.0 zawiera odbitą podatność na skrypty między witrynami (XSS), która pozwala nieuwierzytelnionym atakującym na wykonanie dowolnego kodu JavaScript w przeglądarkach uwierzytelnionych użytkowników poprzez spreparowanie złośliwych adresów URL zwrotnych OAuth z niesanitowanymi parametrami błędu.
Podatność w Papermark do wersji 0.22.0 wynika z błędnej konfiguracji CORS, która pozwala nieuwierzytelnionym atakującym na wykonywanie żądań międzyoriginowych z poświadczeniami. Atakujący wykorzystują endpoint uploadu oparty na TUS, który odzwierciedla dowolne Origin w nagłówku Access-Control-Allow-Origin z ustawionym Access-Control-Allow-Credentials na true.
Podatność w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym użytkownikom dostęp do reguł alertów innych organizacji poprzez podanie docelowego UUID reguły. Mechanizm przechowywania reguł alertów nie filtruje według identyfikatora organizacji, co pozwala na ominięcie kontroli dostępu w środowisku wielodostępnym.
Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).
Podatność w bibliotece Elide do wersji 7.1.17 nie wymusza @ReadPermission na wyrażeniach sortowania dostarczanych przez klienta w metodzie SortingImpl.getValidSortingRules, co pozwala atakującym sortować kolekcje po zabronionych polach. Atakujący mogą wywnioskować ukryte wartości pól poprzez analizę kolejności wierszy, ujawniając względne uporządkowanie pól we wszystkich wierszach zarówno przez JSON:API, jak i GraphQL.

