Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
W wersji 1.12.1 i wcześniejszych XWEB Pro występuje podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu na systemie poprzez wysłanie spreparowanego żądania do trasy instalacji bibliotek i wstrzyknięcie złośliwego wejścia do ciała żądania.
W wersji 1.12.1 i wcześniejszych aplikacji Copeland XWEB Pro występuje luka umożliwiająca ominięcie wymagań dotyczących uwierzytelniania, co pozwala atakującym na wykonanie kodu przed uwierzytelnieniem na systemie.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.2.0, nieautoryzowany atakujący mógł nadpisać całą konfigurację infrastruktury samodzielnie hostowanej instancji Hoppscotch, w tym dane uwierzytelniające dostawców OAuth i ustawienia SMTP, wysyłając pojedyncze żądanie HTTP POST bez autoryzacji.
EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.
OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.
Oprogramowanie Unitree Go2 w wersjach 1.1.7 do 1.1.11, używane z aplikacją Android Unitree Go2, jest podatne na zdalne wykonanie kodu z powodu braku ochrony integralności i walidacji programów tworzonych przez użytkowników. Aplikacja przechowuje programy w lokalnej bazie danych SQLite i przesyła zawartość programu do robota, który wykonuje dostarczony kod Python bez weryfikacji.
ZenTaoPMS w wersjach od 18.11 do 21.6.beta jest podatny na atak typu Directory Traversal w pliku /module/ai/control.php. Umożliwia to atakującym wykonanie dowolnego kodu poprzez odpowiednio przygotowane przesłanie pliku.
Ajenti to modułowy panel administracyjny dla serwerów Linux i BSD. Przed wersją 2.2.13, nieautoryzowany użytkownik mógł uzyskać dostęp do serwera i wykonać dowolny kod na tym serwerze.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.8.0 węzeł CSV Agent w Langflow ma na stałe ustawioną opcję `allow_dangerous_code=True`, co umożliwia atakującym wykonywanie dowolnych poleceń Python i OS na serwerze poprzez wstrzykiwanie poleceń, co prowadzi do pełnego zdalnego wykonania kodu (RCE). Wersja 1.8.0 naprawia ten problem.
Vitess to system klastrowania baz danych dla poziomego skalowania MySQL. W wersjach przed 23.0.3 i 22.0.4, każda osoba z dostępem do lokalizacji przechowywania kopii zapasowych (np. bucket S3) może manipulować plikami manifestu kopii zapasowej, co pozwala na wykonanie dowolnego kodu podczas przywracania tej kopii zapasowej.
OpenLIT to otwartoźródłowa platforma do inżynierii AI. W wersjach przed 1.37.1, kilka workflow GitHub Actions w repozytorium OpenLIT używało zdarzenia `pull_request_target`, co pozwalało na wykonywanie nieufnego kodu z forkowanych pull requestów z uprawnieniami repozytorium bazowego.
Sub2API to platforma bramy API AI, która zarządza limitami API z subskrypcji produktów AI. W wersjach przed 0.1.85 występuje podatność na manipulację linkiem resetowania hasła, co pozwala atakującym na wstrzyknięcie własnej domeny do linku, co może prowadzić do przejęcia konta.
W pakiecie psd-tools, używanym do pracy z plikami PSD Adobe Photoshop, przed wersją 1.12.2 występowała podatność związana z nieprawidłowymi danymi obrazu skompresowanymi RLE. W przypadku wystąpienia błędu ValueError podczas dekodowania, funkcja psd.composite() oraz eksport w psd-tools mogły ulegać awarii.
Parse Server przed wersjami 8.6.3 i 9.1.1-alpha.4 jest podatny na atak, w którym nieautoryzowany napastnik może sfałszować token uwierzytelniający Google z algorytmem 'alg: "none"', co pozwala na logowanie się jako dowolny użytkownik powiązany z kontem Google bez znajomości jego danych uwierzytelniających.

