Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Prefect w wersji 3.6.23 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowego obsługiwania danych wejściowych użytkownika w klasie pamięci masowej `GitRepository`. Parametr `commit_sha` przekazywany do poleceń git nie jest walidowany i nie zawiera separatora `--` odróżniającego dane wejściowe od flag git, co pozwala atakującym na wstrzykiwanie dowolnych flag git, takich jak `--upload-pack`, umożliwiając wykonanie zewnętrznych programów. Dodatkowo parametr `directories` może być wykorzystany do wstrzykiwania flag git podczas operacji sparse-checkout.
Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.
Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punktach końcowych stripe_portal i stripe_checkout, które akceptują niezweryfikowane parametry callbackUrl, successUrl i cancelUrl.
Capgo w wersjach przed 12.128.2 używa dopasowania wzorców ILIKE zamiast dokładnego dopasowania dla identyfikatora aplikacji (app_id) w resolverze subdomeny podglądu. To pozwala na wykorzystanie znaków podkreślenia w app_id jako symboli wieloznacznych SQL, co może prowadzić do niezamierzonych dopasowań wzorców.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym GET /statistics/app/:app_id, która pozwala na rozróżnienie istniejących identyfikatorów aplikacji przez klucze API o ograniczonym dostępie. Atakujący mogą enumerować rzeczywiste identyfikatory aplikacji, obserwując różnice w odpowiedziach błędów.
Nuxt przed wersją 4.4.7 (oraz gałąź 3.x przed 3.21.7) zawiera podatność na ataki typu cross-site scripting w komponencie NoScript, który zapisuje zawartość slotów do innerHTML bez odpowiedniego zabezpieczenia. Atakujący mogą wstrzykiwać złośliwe skrypty poprzez niezaufane dane w slotach NoScript, takie jak parametry route.query.
Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.
Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na tworzenie dowolnych plików o zerowej wielkości poprzez instancjonowanie klasy logging.FileHandler. Atakujący mogą wykorzystać tę lukę, tworząc złośliwe ładunki pickle, aby obejść blokady RCE i tworzyć pliki blokad lub inne artefakty systemu plików.
Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.
Wersje capacitor-native-biometric przed 12.128.2 zawierają podatność na obejście uwierzytelnienia, w której metoda onAuthenticationSucceeded() nie weryfikuje parametrów CryptoObject. Atakujący mogą wykorzystać dynamiczną instrumentację, aby obejść uwierzytelnienie biometryczne bez ważnych poświadczeń.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /replication, który ujawnia wewnętrzną telemetrię replikacji PostgreSQL, w tym nazwy slotów i pozycje WAL LSN. Atakujący mogą uzyskać dostęp do tego punktu końcowego bez uwierzytelnienia, aby pozyskać wrażliwe szczegóły infrastruktury.
Flowise w wersjach przed 3.1.2 zawiera podatność na masowe przypisanie w punkcie końcowym PUT /api/v1/user, co pozwala uwierzytelnionym użytkownikom na bezpośrednią modyfikację pola poświadczeń bez walidacji. Atakujący mogą obejść weryfikację zmiany hasła oraz unieważnienie sesji, dostarczając spreparowany skrót hasła, co umożliwia trwały dostęp do konta po tymczasowym naruszeniu sesji.
Flowise w wersjach przed 3.0.13 zawiera podatność na ujawnienie informacji w punkcie końcowym POST /api/v1/account/forgot-password, który zwraca pełne obiekty użytkowników, w tym dane osobowe, nieautoryzowanym atakującym. Atakujący może enumerować ważne adresy e-mail i zbierać wrażliwe dane użytkowników, wysyłając żądania z znanymi adresami e-mail.
Cap-go w wersjach przed 12.128.2 zawiera lukę w autoryzacji w kilku funkcjach RPC Supabase PostgREST, które są dostępne dla roli anon bez wymuszania członkostwa w organizacji lub sprawdzania uprawnień. Atakujący może wykorzystać publiczny klucz API Supabase do zapytań o wartości org_id, co pozwala na ujawnienie telemetrii użycia między najemcami.
Capgo przed wersją 12.128.2 nie egzekwuje maksymalnej wartości dla minimalnej długości hasła w konfiguracji polityki haseł. Administratorzy organizacji mogą ustawić ekstremalnie dużą wartość jako minimalną długość hasła, co uniemożliwia spełnienie wymagań dla wszystkich członków organizacji.
Capgo w wersjach przed 12.128.2 zawiera podatność typu server-side request forgery w walidacji URL webhooków, co pozwala na wykorzystanie adresów loopback i wewnętrznych. Administratorzy organizacji mogą konfigurować webhooki wskazujące na localhost lub 127.0.0.1, co prowadzi do wykonywania żądań wychodzących do tych adresów.
Capgo w wersjach przed 12.128.2 nie usuwa metadanych EXIF, w tym danych geolokalizacyjnych GPS z przesyłanych obrazów, co prowadzi do ujawnienia informacji. Atakujący mogą pobrać przesłane obrazy i wydobyć dokładne współrzędne geograficzne, ujawniając fizyczną lokalizację użytkownika w momencie wykonania zdjęcia.
Flowise w wersjach przed 3.0.8 zawiera podatność typu cross-site scripting (XSS) spowodowaną niewystarczającym filtrowaniem danych wejściowych w wiadomościach czatu oraz funkcjach agentów niestandardowych. Atakujący może wstrzyknąć złośliwy kod JavaScript, co prowadzi do kradzieży ciasteczek i danych sesji.
Flowise w wersjach przed 2.1.4 pozwala na wstrzykiwanie konfiguracji do Chainflow podczas wykonywania za pomocą opcji overrideConfig. Funkcja ta jest domyślnie włączona i nie posiada listy dozwolonych zmiennych, co umożliwia atakującym zdalne wykonanie kodu oraz inne poważne ataki.
Wersje Liquidfiles przed 4.2.12 są podatne na lukę w kontroli dostępu, która umożliwia eskalację uprawnień z poziomu Administratora w drugorzędnej domenie do poziomu Sysadmina poprzez modyfikację grupy w ich zarządzanej drugorzędnej grupie.

