Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W protobufjs-cli, przed wersjami 1.3.2 i 2.5.0, występowała niekompletna poprawka dotycząca niebezpiecznego przetwarzania nazw w generowaniu kodu statycznego. Affected versions mogły emitować niebezpieczne odniesienia JavaScript podczas generowania statycznego wyjścia z przygotowanego wejścia JSON.
Wersje protobufjs od 8.2.0 do 8.4.2 nie miały opcji do odrzucania nieznanych pól podczas dekodowania, co mogło prowadzić do nadmiernego zużycia pamięci przez dekodowane wiadomości. W wersji 8.5.0 dodano opcje umożliwiające wyłączenie zatrzymywania nieznanych pól, a w wersji 8.6.2 domyślnie odrzucane są nieznane pola.
W wersjach przed 8.6.0 i 7.6.3, protobufjs akceptował pewne nazwy pochodzące ze schematu, które mogły kolidować z właściwościami używanymi przez pomocników runtime protobufjs. To mogło prowadzić do wyjątków deterministycznych lub rekurencyjnych wywołań w różnych operacjach związanych z dekodowaniem i serializacją.
Pakiet launch-editor umożliwia użytkownikom otwieranie plików z numerami linii w edytorze z Node.js. W wersjach przed 2.14.1, pakiet ten uzyskuje dostęp do dowolnych ścieżek, w tym do ścieżek UNC w systemie Windows, co prowadzi do wycieku hasła NTLMv2 użytkownika.
Vite to framework narzędziowy dla JavaScript, który przed wersjami 8.0.16, 7.3.5 i 6.4.3 mógł zwracać zawartość plików określonych przez server.fs.deny do przeglądarki na systemie Windows. Problemy z normalizacją ścieżek NTFS ADS pozwalały na nieautoryzowany dostęp do wrażliwych plików.
W bibliotece Python-Multipart przed wersją 0.0.31 funkcja parse_form() nie walidowała nagłówka Content-Length przed użyciem go do ograniczenia odczytu treści żądania. Ujemna wartość Content-Length powodowała odczyt całego ciała żądania do pamięci zamiast w stałych fragmentach.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 powoduje kwadratową złożoność obliczeniową podczas parsowania treści typu application/x-www-form-urlencoded z separatorem średnika. Atakujący może wysłać małe, spreparowane żądanie zawierające wiele pól oddzielonych średnikami, co prowadzi do znacznego obciążenia procesora i potencjalnego wyczerpania zasobów.
Python-Multipart przed wersją 0.0.30 błędnie traktował średnik (;) jako separator pól w ciałach żądań typu application/x-www-form-urlencoded, podczas gdy standard WHATWG i nowoczesne przeglądarki uznają tylko znak &. Ta różnica w parsowaniu umożliwia atakującemu przemycenie dodatkowych pól formularza obok komponentu sprawdzającego ciało żądania.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 polega na tym, że funkcja parse_options_header dekoduje nagłówki Content-Disposition i Content-Type z użyciem RFC 2231/5987, co pozwala na przemycenie alternatywnej nazwy pola lub pliku (filename*) w formacie multipart/form-data. Atakujący może wykorzystać różnice w interpretacji tych nagłówków między komponentami bezpieczeństwa (WAF, proxy) a backendem, aby ominąć inspekcję.
W Angularze wykryto podatność na Cross-Site Scripting (XSS) w zależności DOM emulacji @angular/platform-server (domino) podczas serializacji treści elementów raw-text, takich jak <script>, <style> i <iframe>. Błąd w obliczeniach indeksów Unicode powoduje, że dynamiczny tekst zawierający znaki astralne (np. emotikony) przed znacznikiem zamykającym nie jest poprawnie escapowany, co umożliwia wstrzyknięcie kodu JavaScript. Luka została załatana w wersjach 22.0.0-rc.2, 21.2.16, 20.3.24 i 19.2.25.
W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.
Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych przez Service Worker Angulara usuwane są jawne ustawienia bezpieczeństwa (credentials i cache mode). W efekcie przeglądarka wysyła aktywne dane uwierzytelniające (np. ciasteczka) tam, gdzie programista nakazał je pominąć, a prywatne zasoby są buforowane w lokalnej pamięci podręcznej.
W Angularze w pakiecie @angular/common wykryto podatność na odmowę usługi (DoS). Funkcja formatNumber, używana również przez DecimalPipe, PercentPipe i CurrencyPipe, nie waliduje poprawnie górnych granic parametru digitsInfo, co pozwala na przekazanie złośliwie spreparowanego ciągu znaków z bardzo dużymi wartościami cyfr ułamkowych. Powoduje to nieskończoną pętlę w funkcji roundNumber, prowadzącą do przeciążenia systemu.
W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w stanie TransferState. Dane te są serializowane do HTML i mogą być przechowywane w pamięci podręcznej CDN lub proxy, prowadząc do wycieku prywatnych danych między użytkownikami.
Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych dla dopasowanych zasobów usługa Service Worker usuwa ścisłą politykę przekierowań (np. redirect: 'error'), zastępując ją domyślnym zachowaniem przeglądarki 'follow'. Może to prowadzić do nieautoryzowanego śledzenia przekierowań HTTP 3xx, co stwarza ryzyko wycieku ciasteczek, poświadczeń lub danych chronionych sesją.
Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań serwerowych do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co prowadzi do ataku SSRF.
Babel to kompilator do pisania nowoczesnego JavaScript. Przed wersjami 8.0.0-rc.6 i 7.29.6, @babel/core był podatny na odczyt dowolnego pliku przez komentarz sourceMappingURL. Użycie @babel/core do kompilacji złośliwie spreparowanego kodu może pozwolić atakującemu na odczyt dowolnej mapy źródłowej z systemu, na którym działa Babel, jeśli atakujący kontroluje wejściowy kod źródłowy, może odczytać wyjściowy kod źródłowy i zna ścieżkę pliku mapy źródłowej, który chce odczytać.
Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.
Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.
Wykryto problem w wersjach Canonical ADSys do v0.16.2, polegający na używaniu nieszyfrowanego połączenia HTTP do żądania certyfikatu CA z serwera AD CS. Atakujący może przeprowadzić atak typu Man-in-the-Middle, co prowadzi do zainstalowania złośliwego certyfikatu w lokalnym magazynie zaufania systemu.

