Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
FOSSBilling w wersjach od 0.5.4 do 0.8.0 ma lukę w autoryzacji w obsłudze ról API, co pozwala na nieautoryzowany dostęp do uprzywilejowanych punktów końcowych `/api/system/*`. Atakujący mogą wywoływać metody API administratora bez ważnych poświadczeń.
W funkcji find_soa() w pliku src/rfc1035.c programu dnsmasq występuje podatność na odczyt poza dozwolonym zakresem pamięci. Podczas parsowania rekordów NS, wywołanie extract_name() z parametrem extrabytes=0 nie sprawdza, czy dostępnych jest dodatkowych 10 bajtów dla pól o stałej długości. Zdalny atakujący kontrolujący strefę DNS może wykorzystać tę lukę poprzez spreparowaną odpowiedź NXDOMAIN, powodując 10-bajtowy odczyt poza stertą i potencjalny dostęp do nieaktualnych danych z poprzednich transakcji.
DRIMO CMS jest podatny na refleksyjny atak XSS poprzez parametr q w funkcjonalności wyszukiwania. Atakujący może przygotować URL, który po otwarciu skutkuje wykonaniem dowolnego kodu JavaScript w przeglądarce ofiary.
W operatorze OpenShift Cluster Logging wykryto brak autoryzacji przy przekazywaniu tokenów ServiceAccount. Operator tworzy i wysyła tokeny do miejsc docelowych bez weryfikacji, czy twórca ClusterLogForwarder ma uprawnienia do ich użycia.
OpenRemote przed wersją 1.25.0 zawiera podatność typu insecure direct object reference (IDOR) w punkcie końcowym masowego usuwania alarmów, która pozwala uwierzytelnionym użytkownikom na trwałe usuwanie alarmów należących do innych najemców poprzez podanie dowolnych identyfikatorów alarmów.
Hono przed wersją 4.12.12 nie weryfikuje nazw ciasteczek w funkcjach setCookie(), serialize() i serializeSigned(), co pozwala na użycie nieprawidłowych znaków, takich jak znaki kontrolne. Może to prowadzić do błędnych wartości nagłówków Set-Cookie.
Grav przed wersją 2.0.0-beta.2 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w procesie przesyłania plików SVG, co pozwala uwierzytelnionym atakującym na odczyt dowolnych plików. Aplikacja używa funkcji simplexml_load_string bez wyłączenia ładowania zewnętrznych jednostek, co umożliwia atakującym wstrzykiwanie ładunków XXE za pomocą złośliwych plików SVG.
Podatność w ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 umożliwia wstrzykiwanie poleceń w dekoderze SVG. Atakujący mogą stworzyć złośliwe pliki SVG z wstrzykniętymi komendami Magick Vector Graphics, które wykonują się podczas renderowania.
ImageMagick w wersjach przed 7.1.2-15 oraz 6.9.13-40 zawiera podatność typu use-after-free w kodzie meta. W przypadku niepowodzenia alokacji pamięci, jeden bajt jest zapisywany do nieaktualnego wskaźnika, co może prowadzić do awarii usługi.
W ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 występuje wyciek pamięci w pliku coders/txt.c podczas przetwarzania plików TXT z atrybutami tekstury. Obiekt tekstury alokowany przez ReadImage nie jest zwalniany, gdy funkcja GetTypeMetrics zawiedzie, co powoduje wyciek pamięci przy każdym przetworzeniu spreparowanego pliku TXT z atrybutem tekstury.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /updates, który rozwiązuje parametr defaultChannel przed nałożeniem ograniczeń prywatności. Umożliwia to atakującym enumerację prywatnych kanałów oraz ujawnienie stanu wersji i konfiguracji.
Picklescan przed wersją 1.0.4 nie blokuje przynajmniej siedmiu modułów standardowej biblioteki Pythona, co umożliwia zdalne wykonanie kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które importują te nieblokowane moduły, omijając walidację bezpieczeństwa picklescan.
Nuxt w wersjach 4.0.0 przed 4.4.7 oraz 3.18.0 przed 3.21.7, działając na serwerze deweloperskim (nuxt dev) w systemie Linux, wiąże serwer IPC vite-node z gniazdem Unix w abstrakcyjnej przestrzeni nazw bez ograniczeń dostępu, co pozwala lokalnym użytkownikom na enumerację i połączenie.
Flowise w wersjach przed 3.1.0 zawiera podatność typu server-side request forgery (SSRF) w węźle Execute Flow, która pozwala atakującym na obejście walidacji bezpieczeństwa poprzez podanie adresów intranetowych w polu podstawowego URL. Atakujący mogą inicjować żądania HTTP do adresów wewnętrznych sieci oraz uzyskiwać dostęp do metadanych chmurowych.
Flowise w wersjach przed 3.1.2 zawiera wiele podatności na wstrzykiwanie poleceń systemowych w funkcji Custom MCP Server, spowodowanych niekompletną walidacją flag poleceń oraz obejściem regex w ograniczeniach dostępu do plików lokalnych.
Crawl4AI przed wersją 0.8.7 zawiera podatność na trwały skrypt między witrynami (stored XSS) w panelu monitorowania. Panel renderuje adresy URL i komunikaty błędów za pomocą innerHTML bez odpowiedniego kodowania, co pozwala atakującemu na przesłanie spreparowanego żądania indeksowania zawierającego złośliwy kod. Kod ten wykonuje się w przeglądarce operatora podczas przeglądania panelu.
Crawl4AI przed wersją 0.8.8 zawiera podatność na dowolne zapisywanie plików w punktach końcowych zrzutów ekranu i PDF, co pozwala nieautoryzowanym atakującym na zapis plików poza zamierzonym katalogiem.
Cap-go capgo (capgo-backend) w wersjach przed 12.128.12 zawiera podatność na nieautoryzowane odmowy usługi, wynikającą z polityki bezpieczeństwa na poziomie wiersza (RLS) w tabeli audit_logs, gdy jest dostępna przez API Supabase PostgREST.
Capgo w wersjach przed 12.128.2 zawiera lukę umożliwiającą obejście zabezpieczeń, w której PostgREST/RLS akceptuje niezaszyfrowane klucze API przez nagłówek capgkey, mimo że włączono enforce_hashed_api_keys. Atakujący mogą ominąć egzekwowanie kluczy haszowanych na poziomie organizacji, wysyłając niezaszyfrowane klucze API bezpośrednio do PostgREST/RLS w celu uzyskania dostępu do chronionych zasobów.
Capgo przed wersją 12.128.2 zawiera podatność na walidację poświadczeń w punkcie końcowym POST /functions/v1/private/validate_password_compliance, który można wywołać tylko za pomocą publicznego klucza Supabase bez uwierzytelnienia. Punkt końcowy jest zgodny z CORS i nie ma ograniczeń dotyczących liczby żądań, co umożliwia atakującym przeprowadzanie ataków typu password spraying i credential stuffing.

