Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W n8n, platformie automatyzacji przepływów pracy typu open source, przed wersjami 1.123.48, 2.21.8 i 2.22.4, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających węzeł kodu Python mógł opuścić sandbox i uzyskać zdalne wykonanie kodu na kontenerze wykonawczym zadań.
W Langflow przed wersją 1.10.0 funkcja „Shareable Playground” („Public Flows”) umożliwiała publiczne wykonywanie przepływów. Żądanie wykonania mogło zawierać listę plików odczytywanych przez Langflow i przekazywanych do modelu LLM, co pozwalało na odczyt dowolnych plików lokalnych lub z S3, w zależności od konfiguracji.
Langflow przed wersją 1.9.2 zawiera krytyczną podatność RCE w funkcji „Shareable Playground”. Niezautoryzowani użytkownicy mogą wykonać dowolny kod Python, wysyłając spreparowane żądanie do endpointu /api/v1/build_public_tmp z polem data.nodes[X].data.node.template.code.value.
W n8n przed wersjami 1.123.43, 2.22.1 i 2.20.7, punkty końcowe do ponownego łączenia OAuth1 i OAuth2 autoryzowały dostęp przy użyciu uprawnienia credential:read zamiast credential:update. Uwierzytelniony użytkownik z dostępem tylko do odczytu do współdzielonego poświadczenia mógł zainicjować przepływ ponownego łączenia OAuth i nadpisać przechowywany materiał tokenu dla tego poświadczenia tokenami powiązanymi z zewnętrznym kontem, które kontroluje.
Podatność w metodzie addUser API XML-RPC pozwala na obejście walidacji, co umożliwia tworzenie nazw użytkowników prowadzących do podszywania się lub ataków XSS. Problem został wprowadzony podczas łatania CVE-2025-55129.
Podatność umożliwia atak XSS (stored) poprzez nazwy użytkowników. Gdy administrator przegląda szczegóły dziennika audytu, złośliwy kod JavaScript osadzony w nazwie użytkownika jest wykonywany z powodu braku sanityzacji wyjścia.
W Revive Adserver w wersji 6.0.6 i wcześniejszych występuje brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy. Użytkownik o niskich uprawnieniach może dodać nieoczekiwany parametr komponentu i wstrzyknąć złośliwy kod PHP do pola compiledlimitations, który zostanie wykonany podczas dostarczania banera.
Podatność umożliwia użytkownikom na poziomie reklamodawcy aktywację lub dezaktywację banera w Revive Adserver 6.0.6 i wcześniejszych wersjach, nawet jeśli nie przyznano im takich uprawnień. Skrypt banner-edit.php pozwalał na nadpisanie statusu banera wyłącznie na podstawie uprawnień do edycji banera.
Brak kontroli dostępu podczas wywoływania różnych metod modyfikacji w API XML-RPC Revive Adserver w wersji 6.0.6 i wcześniejszych. API pozwalało na przypisywanie jednostek do różnych jednostek nadrzędnych, co prowadziło do niespójnych relacji własności.
Użytkownicy z niskimi uprawnieniami mogą wykorzystać swoje pełne imię i nazwisko do przeprowadzenia ataku XSS (przechowywanego). Imię to jest dołączane do systemowych wiadomości e-mail, których treść jest przechowywana w polu szczegółów tabeli userlog. Administrator przeglądający treść e-maila przez userlog-details.php może uruchomić złośliwy kod JavaScript z powodu braku sanityzacji wyjścia. Dodano odpowiednie kodowanie do wyjścia szczegółów logów użytkownika.
n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, atakujący z dostępem do zapisu w repozytorium git powiązanym z konfiguracją Source Control n8n mógł wprowadzić złośliwy plik JSON Data Table zawierający spreparowaną nazwę kolumny, co mogło prowadzić do wstrzyknięcia SQL.
n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł obejść poprawkę dla CVE-2026-42232 w węźle XML, co w połączeniu z innymi węzłami mogło prowadzić do zdalnego wykonania kodu na hoście n8n.
n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł wstrzyknąć flagi CLI w operacji Push w węźle Git, co pozwalało atakującemu na odczyt dowolnych plików z serwera n8n, co potencjalnie prowadziło do pełnego kompromitacji.
n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł osiągnąć globalne zanieczyszczenie prototypu za pomocą niezweryfikowanego parametru paginacji w węźle żądania HTTP.
Langflow przed wersją 1.9.0 zawiera podatność na przechodzenie do dowolnych ścieżek (Path Traversal) w API baz wiedzy (POST /api/v1/knowledge_bases). Atakujący z uwierzytelnieniem może wykorzystać brak walidacji nazw baz wiedzy do tworzenia katalogów i zapisywania plików w dowolnym miejscu systemu plików serwera.
Niskoprawne identyfikatory sesji generowane dla konsoli administracyjnej mogą być ponownie używane w API XML-RPC, którego uwierzytelnienie jest zazwyczaj ograniczone do użytkowników administracyjnych. Atakujący może wykorzystać to do uzyskania nieautoryzowanego dostępu i wykorzystania luk na poziomie API.
Brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na wstrzyknięcie złośliwego kodu PHP do pola compiledlimitations w bazie danych, co skutkuje jego wykonaniem podczas dostarczania banerów.
Brak sanitizacji danych wejściowych w skrypcie zone-include.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może umożliwić użytkownikowi o niskich uprawnieniach wykorzystanie parametru clientid do przeprowadzenia ataków typu blind SQL injection. Wprowadzono poprawki w sanitizacji danych wejściowych, aby zapewnić prawidłową walidację wszystkich przetwarzanych parametrów.
W skrypcie zone-include.php w Revive Adserver w wersji 6.0.6 i wcześniejszych brakuje odpowiedniej sanitizacji danych wejściowych. Użytkownik o niskich uprawnieniach może wykorzystać parametr clientid do przeprowadzenia ataków typu blind SQL injection.
Brak kontroli dostępu przy łączeniu trackerów z kampaniami w skrypcie campaign-trackers.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na powiązanie swoich trackerów z kampaniami należącymi do innych menedżerów w tej samej instancji.

