Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.13.1, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do nieskończonej pętli.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.13.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do nieskończonej pętli.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.13.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do nieskończonej pętli podczas ekstrakcji tekstu w trybie układu.
LiteLLM proxy przed wersją 1.84.0 zawiera podatność związaną z parsowaniem nagłówka Host, która w określonych warunkach może umożliwić nieuwierzytelniony dostęp do chronionych tras administracyjnych. Warstwa autoryzacji wyznacza trasę na podstawie request.url.path, który Starlette rekonstruuje z nagłówka Host, co pozwala na manipulację i ominięcie kontroli dostępu.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.2, atakujący mógł stworzyć PDF, który prowadził do dużego zużycia pamięci poprzez ekstrakcję tekstu z strony zawierającej obiekt formularza XObject z odniesieniami do samego siebie.
Podatność w bibliotece pypdf przed wersją 6.12.2 pozwala atakującemu na stworzenie pliku PDF, który powoduje długi czas przetwarzania. Wymaga to dostępu do strumienia wykorzystującego filtr /FlateDecode z predyktorem PNG.
W bibliotece Net::IMAP w Ruby występuje podatność, która pozwala na wstrzykiwanie dowolnych poleceń IMAP poprzez nieprawidłową walidację argumentów w metodach #id i #enable. Problem ten dotyczy wersji przed 0.6.5 i 0.5.15.
Net::IMAP w Ruby przed wersjami 0.6.5 i 0.5.15 ma podatność, która pozwala na wstrzyknięcie dodatkowych poleceń przez atakującego. Wykorzystując nieprawidłowo walidowane argumenty, atakujący może zmusić pierwsze polecenie do oczekiwania na zakończenie innego polecenia.
W bibliotece Net::IMAP w Ruby występuje podatność, która pozwala na wstrzyknięcie dowolnych poleceń IMAP w przypadku, gdy serwer nie obsługuje literałów niesynchronizujących. Wersje przed 0.6.5 i 0.5.15 są narażone na atak, który może prowadzić do wykonania nieautoryzowanych poleceń.
PhpSpreadsheet przed wersją 1.30.5 zawierał lukę, która pozwalała na obejście zabezpieczeń związanych z obsługą wrapperów strumieniowych, co mogło prowadzić do zdalnego wykonania kodu (RCE). Problem wynikał z niewłaściwego sprawdzania schematu URL, co umożliwiało atakującym wykorzystanie wrapperów takich jak phar://.
Podatność w Jupyter Server przed wersją 2.20 pozwala na atak XSS przez osadzenie złośliwego kodu HTML w notatniku. Brak dyrektywy sandbox w Content-Security-Policy dla endpointów nbconvert umożliwia wykonanie skryptu w kontekście Jupyter, co prowadzi do przejęcia sesji i zdalnego wykonania kodu.
Biblioteka Authlib w wersjach przed 1.6.10 i 1.7.1 zawiera podatność na nieuwierzytelnione otwarte przekierowanie w punkcie końcowym autoryzacji OAuth 2.0. Wysyłając żądanie z nieobsługiwanym typem odpowiedzi (response_type) i kontrolowanym przez atakującego adresem redirect_uri, można uzyskać odpowiedź HTTP 302 przekierowującą na dowolną stronę.
Gophish w wersji do 0.12.1 zawiera podatność typu denial of service, która pozwala uwierzytelnionym użytkownikom z rolą Użytkownika na wyczerpanie pamięci serwera poprzez przesyłanie spreparowanego dokumentu Office jako załącznika szablonu e-mail. Funkcja ApplyTemplate() przetwarza dokumenty Office jako archiwa ZIP, co umożliwia wykorzystanie ładunku zip bomb.
Błąd w agencie HTTP Node.js może spowodować, że klient zaakceptuje odpowiedź wysłaną przed wysłaniem żądania. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.
Podatność w Dell Wyse Management Suite (WMS) przed wersją 2605 wynika z nieprawidłowego rozwiązywania odnośników przed dostępem do pliku. Umożliwia ona atakującemu z niskimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu.
Podatność w Dell Wyse Management Suite (WMS) przed wersją 2605 polega na użyciu domyślnych poświadczeń. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem ujawnienie poufnych informacji.
Podatność SQL Injection w Dell Wyse Management Suite (WMS) przed wersją 2605 pozwala niskouprzywilejowanemu atakującemu na zdalne wykonanie nieautoryzowanych zapytań do bazy danych. Luka wynika z nieprawidłowego neutralizowania specjalnych elementów w poleceniach SQL.
W systemie Dell Wyse Management Suite (WMS) w wersjach starszych niż 2605 wykryto podatność na wstrzykiwanie SQL. Luka ta wynika z nieprawidłowego neutralizowania specjalnych elementów w poleceniach SQL. Umożliwia ona atakującemu z niskimi uprawnieniami i zdalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.
IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty są podatne na atak typu odmowa usługi (DoS) w komponencie WebSphere WebServer Plug-in. Atakujący może przesłać spreparowane żądania do serwera WWW, powodując przeciążenie systemu.
LangChain przed wersją 1.3.9 zawiera podatność polegającą na niekonsekwentnym ograniczaniu rozpoznawanych ścieżek plików do zamierzonego katalogu głównego. Komponenty takie jak oprogramowanie pośredniczące do wyszukiwania plików, moduły ładujące konfigurację oraz mechanizmy autoryzacji oparte na prefiksach ścieżek mogą pozwolić na dostęp do plików poza dozwolonym obszarem poprzez wzorce glob, dowiązania symboliczne lub pomijanie granic segmentów ścieżki.

