Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Podatność w Azure Synapse umożliwia wykonanie operacji z niepotrzebnie podwyższonymi uprawnieniami. Autoryzowany atakujący może zdalnie eskalować swoje uprawnienia w sieci.
Brak autoryzacji w Microsoft Exchange Online umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.
Kestra to platforma orkiestracji oparta na zdarzeniach, która przed wersjami 1.3.19, 1.2.19, 1.1.19 i 1.0.43 miała problem z zadaniem `inputFiles`. Umożliwiało to zapisanie nazw plików bezpośrednio w katalogu roboczym zadania, co mogło prowadzić do nadpisania plików poza tym katalogiem.
Podatność w Microsoft 365 Copilot Business Chat umożliwia nieautoryzowanemu atakującemu przekierowanie użytkownika na zewnętrzną, niezaufaną stronę (open redirect), co może prowadzić do eskalacji uprawnień w sieci.
Wersje Authelia od 4.38.0 do 4.39.19 mają problem z obsługą wielkości liter w nazwach użytkowników podczas uwierzytelniania przez Basic Auth. W wyniku tego, różne warianty wielkości liter mogą prowadzić do tworzenia oddzielnych bucketów banów dla tego samego użytkownika.
Nieprawidłowa autoryzacja w Azure Active Directory umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Podatność w Microsoft Copilot umożliwia nieautoryzowanemu atakującemu wykonanie wstrzyknięcia poleceń przez sieć. Problem wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach.
Podatność typu Cross-Site Scripting (XSS) w Microsoft Entra ID umożliwia autoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu treści w sieci. Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych.
W aplikacji Mercator przed wersją 2025.05.19 występuje podatność typu Server-Side Request Forgery (SSRF) w panelu konfiguracyjnym CVE. Metoda `testProvider()` w `ConfigurationController` nie waliduje danych wejściowych użytkownika, co pozwala na wymuszanie dowolnych żądań sieciowych przez uwierzytelnionego użytkownika z odpowiednimi uprawnieniami.
Mercator to aplikacja webowa, która przed wersją 2025.05.19 miała lukę w silniku zapytań, umożliwiającą autoryzowanym użytkownikom, w tym rolom z ograniczonym dostępem, wykonywanie zapytań do modeli poza ich zakresem. Dodatkowo, kolumna `password`, mimo że oznaczona jako `$hidden`, mogła być używana w warunkach `LIKE` w filtrach.
YARD to narzędzie do generowania dokumentacji dla języka Ruby. W wersjach przed 0.9.44, statyczne wyszukiwanie w pamięci podręcznej YARD odczytuje ścieżkę żądania przed oczyszczeniem ścieżki przez router, co może prowadzić do ujawnienia plików HTML poza zamierzonym drzewem statycznym.
W wersji 2.9.1 platformy gin-vue-admin, uwierzytelniony atakujący z dostępem do funkcji generowania kodu i interfejsu zarządzania MCP może wykorzystać tę podatność do wstrzyknięcia kontrolowanego przez siebie kodu źródłowego Go, co prowadzi do wykonania dowolnych poleceń systemowych na serwerze.
W wersjach 3.0.0 do 3.0.8 narzędzie `run_sql_readonly` w ProxySQL narusza umowę o odczycie tylko w przypadku celów MySQL, umożliwiając wykonanie poleceń modyfikujących dane. Użytkownik może przesłać pierwsze zapytanie odczytowe, a następnie drugie, które powoduje skutki uboczne, takie jak `RENAME TABLE`.
ProxySQL, będący proxy dla MySQL i PostgreSQL, ma podatność na uszkodzenie pamięci w stercie przed uwierzytelnieniem w wersjach od 2.0.18 do 3.0.8. Zdalny, nieautoryzowany klient może zadeklarować zbyt dużą długość pierwszego pakietu, co prowadzi do potencjalnego wykorzystania tej luki.
ProxySQL w wersjach od 2.0.0 do 3.0.8 akceptuje niepoprawnie sformatowany nagłówek protokołu PROXY, co pozwala atakującym na fałszowanie adresów źródłowych. To prowadzi do obejścia reguł routingu i kontroli dostępu, umożliwiając atakującym manipulację zapytaniami jako zaufany użytkownik.
W narzędziu `radvdump` dostarczanym z radvd przed wersją 2.21 występuje przepełnienie bufora stosu w parserze opcji informacji o trasie. Podczas przetwarzania spreparowanego komunikatu ICMPv6 Router Advertisement funkcja `print_ff()` kopiuje do 2032 bajtów danych kontrolowanych przez atakującego do 16-bajtowej struktury `struct in6_addr` na stosie, powodując przepełnienie o maksymalnie 2016 bajtów. Główny demon `radvd` nie jest podatny na tę lukę.
DevGuard przed wersją 1.4.2 pozwala na nieautoryzowane modyfikacje reguł VEX przez uwierzytelnionych użytkowników, w tym tych z innych organizacji, na publicznych zasobach. Użytkownicy mogą tworzyć, aktualizować, ponownie stosować i usuwać reguły VEX oraz inne powiązane zdarzenia związane z podatnościami.
Wersja 2.6.3 biblioteki urllib3 jest podatna na obejście bomby dekompresyjnej w swoim API strumieniowym (`preload_content=False`) przy użyciu wsparcia dla Brotli. Problem wynika z trzech niezależnych ścieżek kodu, które omijają ochronę `max_length`, co pozwala na wywołanie stanu braku pamięci (OOM) przez złośliwy serwer HTTP.
W gonic, serwerze strumieniowania muzyki, przed wersją 0.21.0 występuje błąd logiczny w funkcji `ServeCreateOrUpdatePlaylist`, który pozwala każdemu uwierzytelnionemu użytkownikowi Subsonic (w tym nie-administratorom) na zapisanie zawartości playlisty M3U w kontrolowanej przez atakującego absolutnej ścieżce systemu plików na hoście gonic.
Gonic, serwer strumieniowania muzyki, ma lukę, która pozwala uwierzytelnionym użytkownikom Subsonic na obejście kontroli własności playlisty. Użytkownicy mogą odczytywać i usuwać playlisty innych użytkowników oraz sprawdzać istnienie dowolnych ścieżek plików na serwerze.

