Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W bibliotece AIOHTTP przed wersją 3.14.1 zasoby ładunku (payload) nie są poprawnie zamykane, gdy klient rozłączy się w trakcie zapisu. Może to prowadzić do tymczasowego wyczerpania zasobów, takich jak otwarte pliki, do momentu ich zwolnienia przez garbage collector.
W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność, w której DigestAuthMiddleware może wysłać odpowiedź uwierzytelniającą po przekierowaniu między domenami. Atak wymaga podatności na otwarte przekierowanie w domenie docelowej, a atakujący może przechwycić jedynie skrót uwierzytelniający, co umożliwia kradzież poświadczeń tylko przy słabej kryptografii lub ponownym użyciu haseł.
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości ominięcia sprawdzenia TLS SNI dla parametru server_hostname podczas ponownego użycia istniejącego połączenia. Jeśli aplikacja wykonuje wiele żądań do tej samej domeny, ale z różnymi wartościami server_hostname, późniejsze wywołania mogą nieprawidłowo wykorzystać wcześniejsze połączenie, zamiast zostać odrzucone.
Podatność w frameworku AIOHTTP przed wersją 3.14.1 umożliwia atakującemu ominięcie limitów pamięci poprzez wysyłanie dużych, niekompletnych ramek WebSocket. Może to prowadzić do nadmiernego zużycia pamięci i potencjalnego wyczerpania zasobów serwera.
W bibliotece AIOHTTP przed wersją 3.14.1 nie było limitu liczby żądań potokowych (pipelined), które mogły być kolejkowane. Atakujący może wykorzystać to do przeciążenia pamięci, co może prowadzić do ataku typu DoS.
W protobufjs-cli, przed wersjami 1.3.2 i 2.5.0, występowała niekompletna poprawka dotycząca niebezpiecznego przetwarzania nazw w generowaniu kodu statycznego. Affected versions mogły emitować niebezpieczne odniesienia JavaScript podczas generowania statycznego wyjścia z przygotowanego wejścia JSON.
Wersje protobufjs od 8.2.0 do 8.4.2 nie miały opcji do odrzucania nieznanych pól podczas dekodowania, co mogło prowadzić do nadmiernego zużycia pamięci przez dekodowane wiadomości. W wersji 8.5.0 dodano opcje umożliwiające wyłączenie zatrzymywania nieznanych pól, a w wersji 8.6.2 domyślnie odrzucane są nieznane pola.
W wersjach przed 8.6.0 i 7.6.3, protobufjs akceptował pewne nazwy pochodzące ze schematu, które mogły kolidować z właściwościami używanymi przez pomocników runtime protobufjs. To mogło prowadzić do wyjątków deterministycznych lub rekurencyjnych wywołań w różnych operacjach związanych z dekodowaniem i serializacją.
Pakiet launch-editor umożliwia użytkownikom otwieranie plików z numerami linii w edytorze z Node.js. W wersjach przed 2.14.1, pakiet ten uzyskuje dostęp do dowolnych ścieżek, w tym do ścieżek UNC w systemie Windows, co prowadzi do wycieku hasła NTLMv2 użytkownika.
Vite to framework narzędziowy dla JavaScript, który przed wersjami 8.0.16, 7.3.5 i 6.4.3 mógł zwracać zawartość plików określonych przez server.fs.deny do przeglądarki na systemie Windows. Problemy z normalizacją ścieżek NTFS ADS pozwalały na nieautoryzowany dostęp do wrażliwych plików.
W bibliotece Python-Multipart przed wersją 0.0.31 funkcja parse_form() nie walidowała nagłówka Content-Length przed użyciem go do ograniczenia odczytu treści żądania. Ujemna wartość Content-Length powodowała odczyt całego ciała żądania do pamięci zamiast w stałych fragmentach.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 powoduje kwadratową złożoność obliczeniową podczas parsowania treści typu application/x-www-form-urlencoded z separatorem średnika. Atakujący może wysłać małe, spreparowane żądanie zawierające wiele pól oddzielonych średnikami, co prowadzi do znacznego obciążenia procesora i potencjalnego wyczerpania zasobów.
Python-Multipart przed wersją 0.0.30 błędnie traktował średnik (;) jako separator pól w ciałach żądań typu application/x-www-form-urlencoded, podczas gdy standard WHATWG i nowoczesne przeglądarki uznają tylko znak &. Ta różnica w parsowaniu umożliwia atakującemu przemycenie dodatkowych pól formularza obok komponentu sprawdzającego ciało żądania.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 polega na tym, że funkcja parse_options_header dekoduje nagłówki Content-Disposition i Content-Type z użyciem RFC 2231/5987, co pozwala na przemycenie alternatywnej nazwy pola lub pliku (filename*) w formacie multipart/form-data. Atakujący może wykorzystać różnice w interpretacji tych nagłówków między komponentami bezpieczeństwa (WAF, proxy) a backendem, aby ominąć inspekcję.
W Angularze wykryto podatność na atak XSS w komponencie @angular/platform-server podczas renderowania po stronie serwera (SSR). Problem występuje, gdy dynamiczna treść jest osadzana w elemencie <noscript> za pomocą wiązań szablonu, a biblioteka domino niepoprawnie serializuje znacznik zamykający </noscript>, co pozwala na wstrzyknięcie złośliwego skryptu.
W Angularze wykryto podatność na Cross-Site Scripting (XSS) w zależności DOM emulacji @angular/platform-server (domino) podczas serializacji treści elementów raw-text, takich jak <script>, <style> i <iframe>. Błąd w obliczeniach indeksów Unicode powoduje, że dynamiczny tekst zawierający znaki astralne (np. emotikony) przed znacznikiem zamykającym nie jest poprawnie escapowany, co umożliwia wstrzyknięcie kodu JavaScript. Luka została załatana w wersjach 22.0.0-rc.2, 21.2.16, 20.3.24 i 19.2.25.
W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.

