Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W podatności CVE-2026-44087 w Apache APISIX występuje niewystarczająca weryfikacja autentyczności danych wtyczki openid-connect, co umożliwia atakującemu fałszowanie nagłówków tożsamości.
Podatność na obejście uwierzytelnienia poprzez spoofing w Apache APISIX pozwala atakującemu na całkowite ominięcie procesu uwierzytelniania, wykorzystując określone konfiguracje wtyczki jwt-auth. Problem dotyczy wersji Apache APISIX od v2.2 do v3.16.0.
Podatność w rozszerzeniach obrazów HEIF firmy Microsoft (wersja 1.2.22.0) wynika z błędu odczytu poza dozwolonym zakresem. Funkcja CHEIFItemInfoEntry_GetDataSize może zwrócić sukces, pozostawiając rozmiar danych jako 0, co prowadzi do alokacji tylko 1 bajta. Następnie funkcja CopyPixels oblicza rozmiar kopii na podstawie stride i wysokości, ale nie sprawdza długości bufora źródłowego przed wywołaniem memmove.
W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 istniała podatność umożliwiająca eskalację uprawnień poprzez dołączanie szczegółów uwierzytelniania do kont.
W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było przejęcie konta poprzez przewidywalne kody przywracania.
W JetBrains Hub przed wersjami 2026.1.13757, 2025.3.148033, 2025.2.148048, 2025.1.148120, 2024.3.148430 i 2024.2.148429 możliwe było ominięcie uwierzytelniania poprzez bezpośredni dostęp do bazy danych, co prowadziło do uzyskania dostępu administracyjnego.
W podatności CVE-2026-44939 występuje możliwość wstrzyknięcia poleceń w interfejsie importu Rancher Manager przed wersją 2.14.2, co może prowadzić do wykonania złośliwych kontenerów.
Wtyczka Avada (Fusion) Builder dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji maybe_delete_files we wszystkich wersjach do 3.15.3 włącznie. Atakujący bez uwierzytelnienia może usunąć dowolne pliki na serwerze, co może prowadzić do zdalnego wykonania kodu.
Wtyczka BetterDocs Pro dla WordPressa jest podatna na atak Local File Inclusion w wersjach do 3.8.0 włącznie, poprzez parametr `doc_style`. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.
FileRise w wersjach przed 3.16.0 jest podatny na atak typu path traversal w punkcie końcowym przesyłania do folderu udostępnionego, co prowadzi do możliwości zapisu dowolnych plików oraz przejęcia konta administratora. Atakujący może wykorzystać ważny link/token do przesyłania plików, aby nadpisać pliki i uzyskać dostęp do konta administratora.
Nieprawidłowa walidacja danych wejściowych w kamerach AVer PTC500S, PTC115, PTC500+ i PTC115+ może umożliwić zdalnemu, nieautoryzowanemu atakującemu wykonanie dowolnego kodu za pomocą specjalnie przygotowanego żądania sieciowego.
W pgAdmin 4 w wersjach od 6.0 do 9.15 wykryto podatność na trwałe ataki XSS. Tekst zwracany przez serwer PostgreSQL (np. nazwy obiektów w błędach czy pola EXPLAIN) był przekazywany bezpośrednio do html-react-parser, co pozwalało na wstrzyknięcie dowolnego HTML, w tym ramek iframe. Atakujący może kontrolować serwer lub stworzyć obiekt o złośliwej nazwie, co prowadzi do przejęcia sesji użytkownika pgAdmin.
W pgAdmin 4 w wersjach od 6.9 do 9.15 brakuje dekoratora uwierzytelniania na dwóch endpointach SQL Editor, co pozwala nieuwierzytelnionym atakującym na wywołanie deserializacji pickle z sesji serwera. Luka wymaga jednak dodatkowych warunków (znajomość SECRET_KEY i dostęp do katalogu sesji), aby doprowadzić do zdalnego wykonania kodu.
Podatność w asystencie AI pgAdmin 4 umożliwia atakującemu, który może wpływać na treść odczytywaną przez asystenta, wykonanie dowolnego SQL z uprawnieniami roli użytkownika pgAdmin. Luka wynika z braku walidacji zapytań generowanych przez LLM, co pozwala na ominięcie trybu tylko do odczytu poprzez wstrzyknięcie poleceń takich jak COMMIT czy ROLLBACK.
Brak uwierzytelnienia dla krytycznej funkcji w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji w sieci.
Nieprawidłowa kontrola dostępu w Microsoft Dynamics 365 umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.
Biblioteka Relyra, będąca dostawcą usług SAML 2.0 dla Elixir i Phoenix, w wersjach 1.0.0 i 1.1.0 akceptowała fałszywe podpisy SAML z powodu braku kryptograficznej weryfikacji SignatureValue przed zwróceniem pozytywnego wyniku autoryzacji. Problem ten został naprawiony w wersji 1.2.0.
mcp-pinot to serwer Model Context Protocol (MCP) oparty na Pythonie, który w wersjach 3.0.1 i poniżej domyślnie uruchamia serwer HTTP MCP bez włączonej autoryzacji. Wszystkie narzędzia MCP są dostępne dla każdego użytkownika w sieci, co prowadzi do poważnych luk w zabezpieczeniach.
Deepstream to serwer umożliwiający synchronizację danych, wysyłanie wiadomości i wykonywanie RPC na dużą skalę. Wersje przed 10.0.5 są podatne na zanieczyszczenie prototypu, co może prowadzić do eskalacji uprawnień przez każdego uwierzytelnionego użytkownika z uprawnieniami do zapisu.
Obrazy kontenerów Bitnami Cassandra są podatne na lukę związaną z zachowaniem domyślnego superużytkownika. W przypadku skonfigurowania niestandardowego konta administratora za pomocą zmiennej środowiskowej CASSANDRA_USER, skrypt inicjalizacji kontenera tworzy nowe konto superużytkownika, ale nie usuwa wbudowanego konta cassandra w określonych scenariuszach.

