Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Klient ActivityPub w aplikacji Ghost był podatny na wstrzykiwanie JavaScript w postach udostępnianych przez złośliwie skonfigurowany serwer ActivityPub przed wersją 3.1.0. Ta podatność została naprawiona w wersji 3.1.0.
W systemie zarządzania treścią Ghost, od wersji 5.46.1 do 6.21.2, walidacja filtrów na publicznych punktach API mogła być częściowo obejściowa, co umożliwiało ujawnienie prywatnych pól poprzez atak brute force. W przypadku użycia SQLite, hasła były w pełni dostępne, natomiast w przypadku MySQL, wielkość liter w hasłach została utracona, co mogło uniemożliwić dalsze ataki brute force.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1 niewystarczająca walidacja typu Content-Type dostarczanego przez klienta na końcówce API do przesyłania plików umożliwiła serwowanie przesłanych plików z wybranym przez atakującego typem treści z backendów S3/GCS.
Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1, podczas ponownego renderowania postów, Ghost mógł wysyłać żądania HTTP do nieautoryzowanych hostów obrazów, co stwarzało ryzyko dla bezpieczeństwa.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach do 6.37.0, gdy Ghost działa za wspólną warstwą pamięci podręcznej, nieautoryzowany użytkownik mógł wysłać nagłówek x-ghost-preview, co prowadziło do zmiany renderowanej odpowiedzi frontendowej.
Rclone w wersjach od 1.46.0 do 1.74.2 zawiera podatność w trybie serwera (rcd --rc-serve), która pozwala nieuwierzytelnionym żądaniom GET i HEAD na wykonywanie dowolnych poleceń systemowych. Atakujący może wykorzystać specjalnie spreparowane URL-e do inicjalizacji backendu z opcjami wykonującymi lokalne polecenia.
Podatność w Jellyfin od wersji 10.9.0 do 10.11.9 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami zapisanie dowolnych plików na serwerze poprzez manipulację polem Client w nagłówku Authorization. Atakujący może użyć sekwencji ../ w tym polu, aby nadpisać pliki w dowolnych lokalizacjach dostępnych dla usługi Jellyfin, z wymuszonym rozszerzeniem .log.
Podatność w Jellyfin przed wersją 10.11.10 pozwala na zapis plików w dowolnej ścieżce systemu plików poprzez spreparowany plik MKV z fałszywymi znacznikami nazw załączników. Brak sanityzacji ścieżki w metodzie Path.Combine umożliwia nadpisanie lub utworzenie plików poza docelowym katalogiem.
Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.
Podatność w Jellyfin przed wersją 10.11.10 umożliwia wstrzyknięcie argumentów do FFmpeg przez specjalnie spreparowaną nazwę pliku napisów. Atakujący bez uwierzytelnienia może wykorzystać brak normalizacji ścieżki w SubtitleEncoder, co prowadzi do zapisu dowolnych plików na serwerze i ujawnienia informacji.
Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome na systemie Windows przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia lokalnemu atakującemu wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego urządzenia peryferyjnego.
Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.197 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 149.0.7827.197 występowała podatność na odczyt i zapis poza dozwolonym zakresem w Blink>InterestGroups, co pozwalało zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebGL w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

