Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.
GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na porcie 10001, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.
GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co prowadzi do potencjalnego przepełnienia bufora.
GV-I/O Box 4E to inteligentne urządzenie wbudowane, które jest podatne na przepełnienie stosu w wyniku nieprawidłowego przetwarzania wiadomości UDP. Atakujący może wysłać odpowiednio skonstruowaną wiadomość, co może prowadzić do nieautoryzowanego dostępu lub awarii urządzenia.
W funkcjonalności GV-Cloud w GeoVision GV-VMS V20 20.0.2 występuje podatność na uszkodzenie pamięci. Specjalnie przygotowane żądanie sieciowe może prowadzić do odmowy usługi.
Wielokrotne podatności na wstrzyknięcie poleceń systemowych występują w funkcjonalności libNetSetObj.so w urządzeniu GeoVision GV-I/O Box 4E 2.09. Specjalnie skonstruowany pakiet sieciowy może prowadzić do wykonania poleceń przez atakującego.
GV-I/O Box 4E to inteligentne urządzenie wbudowane, które obsługuje komunikację przez Ethernet i RS-485. Usługa DVRSearch, działająca domyślnie na tym urządzeniu, jest podatna na przepełnienie bufora stosu, co może być wykorzystane przez atakującego do wykonania złośliwego kodu.
Wtyczka ARForms dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr `value` w akcji AJAX `arf_save_incomplete_form_data` w wersjach do 7.1.3 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka Xpro Addons — 140+ Widgetów dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'custom_attributes' we wszystkich wersjach do 1.7.2 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.
Style Dictionary, system budowania do tworzenia stylów międzyplatformowych, ma podatność na zanieczyszczenie prototypu od wersji 4.3.0 do 5.4.4. Użytkownicy są narażeni na ryzyko w przypadku bezpośredniego lub pośredniego użycia API, szczególnie w aplikacjach serwerowych NodeJS.
Podatność w Anthropic Claude Desktop (wersje od v1.1348.0 do v1.2278.0) polega na braku weryfikacji integralności obrazu systemu plików maszyny wirtualnej Cowork. Lokalny atakujący z nieuprzywilejowanym dostępem do konta macOS może zmodyfikować obraz rootfs.img, który zostanie załadowany przy kolejnym uruchomieniu VM, co umożliwia trwałe wykonanie dowolnego kodu w maszynie wirtualnej i dostęp do zamontowanych katalogów hosta.
Brakujący krok kryptograficzny w oprogramowaniu układowym Caliptra Core prowadzi do nieprawidłowego tagu uwierzytelniającego GCM. Użycie API AES-256-GCM ze pustym AAD skutkuje tym, że stan akumulatora GHASH nie jest zapisywany po pierwszym wywołaniu aktualizacji, co powoduje, że końcowy tag nie uwzględnia pierwszej partii przetworzonego szyfrogramu.
Błędna weryfikacja wartości zwracanej funkcji w oprogramowaniu Caliptra Core Runtime Firmware umożliwia obejście weryfikacji oprogramowania MCU podczas aktualizacji bez przestojów.
FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.
Poweradmin to narzędzie do zarządzania DNS w oparciu o sieć, które w wersjach przed 4.2.4 i 4.3.3 wykorzystuje nagłówek `HTTP_HOST` kontrolowany przez atakującego do budowania adresów URL zwrotnych w procesach uwierzytelniania OIDC, SAML i wylogowywania bez żadnej walidacji. Atakujący może wykorzystać tę lukę do przejęcia konta ofiary.
W systemie Snipe-IT w wersjach przed 8.6.0 użytkownik z uprawnieniem users.edit może wysłać żądanie PATCH do /api/v1/users/{swoje_id} i nadać sobie dowolne uprawnienia (oprócz admin i superuser), np. assets.view, assets.create, reports.view czy import. Problem został naprawiony w wersji 8.6.0.
Poweradmin przed wersjami 4.2.4 i 4.3.3 jest podatny na wstrzykiwanie formuł CSV w funkcji eksportu logów. Nazwa użytkownika, która może być kontrolowana przez atakującego, jest zapisywana do plików CSV bez oczyszczania znaków wyzwalających formuły (=, +, -, @).
Podatność w Fortra File Integrity Monitoring (dawniej Tripwire Enterprise) przed wersją 9.4.0 może powodować przypisanie nieprawidłowych lub podwyższonych uprawnień użytkownikom utworzonym za pomocą polecenia tetool import podczas działania FIM, szczególnie gdy import tworzy lub zmienia role lub relacje rola-uprawnienie.
W systemie Fortra File Integrity Monitoring (FIM), dawniej Tripwire Enterprise, w wersjach przed 9.4.0.1 wykryto podatność na trwały atak XSS w komponencie Asset View UI. Uwierzytelniony użytkownik z odpowiednimi uprawnieniami może przechowywać złośliwy skrypt w polach konfiguracyjnych węzłów lub baz danych, który zostanie wykonany w przeglądarce innego administratora.

