Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą ominięcie uwierzytelniania w endpointach monitora routera, co pozwala nieuwierzytelnionym atakującym na dostęp do destrukcyjnych operacji. Zdalni atakujący mogą wywołać endpoint /monitor/actions/cleanup i manipulować stanem monitorowania bez uwierzytelniania, powodując przerwanie działania usługi.
Capgo w wersjach przed 12.128.2 umożliwia bezpośrednie modyfikowanie public.apps.owner_org za pomocą PostgREST, omijając proces transfer_app() i tworząc rozdzieloną własność. Atakujący mogą bezpośrednio aktualizować apps.owner_org, pozostawiając app_versions.owner_org bez zmian.
Capgo przed wersją 12.128.2 wymusza obowiązkową dwuetapową weryfikację tylko na poziomie interfejsu użytkownika. Wrażliwe punkty końcowe API zarządzania organizacją nie weryfikują zakończenia 2FA na zapleczu, co pozwala na obejście wymogu 2FA przez uwierzytelnionego użytkownika Admin, który nie włączył 2FA.
Supabase Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w funkcji RPC SECURITY DEFINER record_build_time, która pozwala nieautoryzowanym atakującym na wstawianie dowolnych rekordów czasu budowy. Atakujący mogą wykorzystać tę lukę, wywołując POST /rest/v1/rpc/record_build_time z publicznym kluczem API.
Capgo w wersjach przed 12.128.2 pozwala na odczyt sekretów podpisów webhooków przez nieadministracyjne klucze API z powodu niewystarczających polityk bezpieczeństwa na poziomie wierszy w tabeli webhooków. Atakujący mogą uzyskać sekret webhooka i sfałszować nagłówki X-Capgo-Signature, co prowadzi do wysyłania uwierzytelnionych zdarzeń webhook do skonfigurowanych odbiorców.
Capgo przed wersją 12.128.2 zawiera lukę w mechanizmie generowania kluczy API, która pozwala na nieprawidłową autoryzację. Klucze API są ujawniane w żądaniach frontendowych, a backend nie weryfikuje, czy klucze są poprawnie generowane i przypisane do uwierzytelnionego użytkownika.
Capgo w wersjach przed 12.128.2 nie egzekwuje ograniczeń limited_to_orgs i limited_to_apps dla subkluczy przekazywanych za pomocą nagłówka x-limited-key-id w funkcji middlewareKey. Atakujący mogą obejść ograniczenia zakresu subkluczy, odwołując się do własnych subkluczy.
Capgo w wersji przed 12.128.2 zawiera podatność BOLA (broken object level authorization) w punktach końcowych POST /build/start/:jobId oraz POST /build/cancel/:jobId. Atakujący może wykorzystać kontrolowane przez siebie app_id do autoryzacji żądań, co pozwala na uruchamianie lub anulowanie zadań budowy innych najemców.
Capgo przed wersją 12.128.2 zawiera podatność na przejęcie konta SSO w różnych domenach w punkcie końcowym provision-user, co pozwala atakującym na łączenie dowolnych kont ofiar na podstawie dopasowania adresu e-mail bez weryfikacji autoryzacji domeny dostawcy SSO.
W podatności CVE-2026-13163 występuje luka otwartego przekierowania w funkcji _safe_redirect w punkcie końcowym śledzenia kliknięć w Mailerup przed wersją 1.0.0. Umożliwia to zdalnym, nieautoryzowanym atakującym przekierowanie ofiar na dowolne zewnętrzne strony, co może prowadzić do ataków phishingowych.
Podatność typu Stored Cross-Site Scripting w komponencie Canarytokens firmy Thinkst Applied Research, dotycząca publicznie dostępnego magazynu kluczy API AWS. Anonimowe wykorzystanie wymaga znajomości losowego identyfikatora.
Wtyczka AdRotate Banner Manager dla WordPressa jest podatna na wstrzykiwanie kodu PHP we wszystkich wersjach do 5.17.7 włącznie, poprzez atrybut 'banner' shortcode adrotate. Problem wynika z niewystarczającej walidacji i sanitizacji wejścia przed połączeniem w ciąg kodu PHP.
Picklescan w wersjach przed 0.0.29 nie wykrywa złośliwych wywołań idlelib.calltip.Calltip.fetch_tip w plikach pickle, co umożliwia zdalne wykonanie kodu. Atakujący mogą osadzić niewykryte ładunki w plikach pickle, które wykonują dowolny kod po załadowaniu przez pickle.load().
Picklescan przed wersją 0.0.29 nie wykrywa złośliwych plików pickle, które wykorzystują funkcję idlelib.debugobj.ObjectTreeItem.SetText w metodach reduce. Atakujący mogą stworzyć pliki pickle z osadzonym kodem, który omija wykrywanie przez picklescan i wykonuje dowolne polecenia po wywołaniu pickle.load().
Flowise do wersji 2.2.7 zawiera podatność na wstrzykiwanie SQL w API importChatflows. Z powodu niewystarczającej walidacji wartości chatflow.id, uwierzytelniony użytkownik może dostarczyć spreparowany plik JSON, którego pole id jest łączone bez sanityzacji z klauzulą SQL IN, umożliwiając wykonanie dowolnego kodu SQL, w tym ślepe i oparte na błędach wydobycie danych z tabeli credential.
W systemie ccyl13 Pentestify w wersji 1.0.0 i niższych występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym generowania PDF. Atakujący może wykorzystać tę lukę do wysyłania żądań do dowolnych wewnętrznych lub zewnętrznych adresów URL, co może prowadzić do ujawnienia wrażliwych danych.
W jądrze Linuxa w systemie plików ksmbd (SMB) wykryto brak kontroli dostępu dla operacji FSCTL_SET_SPARSE. Funkcja fsctl_set_sparse() modyfikuje atrybut rozrzedzenia pliku bez sprawdzania, czy udział jest tylko do odczytu, ani czy klient ma odpowiednie uprawnienia (FILE_WRITE_DATA lub FILE_WRITE_ATTRIBUTES).
W jądrze Linux wykryto podatność w funkcjach pskb_carve_inside_header() i pskb_carve_inside_nonlinear(), które kopiują strukturę skb_shared_info bez zwiększania licznika referencji dla MSG_ZEROCOPY. Brak wywołania net_zcopy_get() prowadzi do przedwczesnego zwolnienia pamięci ubuf_info_msgzc, co umożliwia użycie po zwolnieniu (use-after-free).
W TortoiseGitBlame występuje podatność na wstrzykiwanie argumentów, która może być wykorzystana przez złośliwe nazwy plików historii Git. Może to prowadzić do nieautoryzowanego zapisu plików w TortoiseGit.
W podatności CVE-2026-10745 występuje niewłaściwa neutralizacja wyjścia dla logów w upKeeper Solutions upKeeper Instant Privilege Access na systemie Windows, co umożliwia wstrzykiwanie, manipulację i fałszowanie logów.

