Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność w Rocket.Chat umożliwia dezaktywowanym użytkownikom (przez funkcję users.deactivateIdle) dalsze korzystanie z już wydanych tokenów logowania. Oznacza to, że użytkownik oznaczony przez administratora jako nieaktywny z powodu bezczynności może nadal uzyskiwać dostęp do uwierzytelnionych punktów końcowych REST przy użyciu starego tokena.
Nieuwierzytelniony atakujący może uzyskać ważny token OAuth dla dowolnego użytkownika Rocket.Chat, wysyłając pojedyncze żądanie HTTP POST z operatorami zapytań MongoDB do endpointu /oauth/token. Serwer OAuth2 nie sprawdza, czy parametry grantu są ciągami znaków, co pozwala na podstawienie wartości takich jak {"$ne": null} i otrzymanie tokena dostępu dla pierwszego dopasowanego użytkownika.
W Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11, procedura logowania CAS przekazuje wartość `credentialToken` dostarczoną przez klienta bezpośrednio do zapytania MongoDB `findOne({_id: ...})` bez sprawdzania typu w czasie wykonania. Nieuwierzytelniony atakujący może zastąpić oczekiwany ciąg znaków tokena operatorem zapytania NoSQL (np. `{"$gt": ""}`), co powoduje dopasowanie pierwszego nieprzedawnionego dokumentu w kolekcji `credential_tokens` i całkowite ominięcie weryfikacji biletu CAS.
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11 pozwala atakującemu na modyfikację dowolnego pola w swoim rekordzie przesłanego pliku. Dzieje się tak, ponieważ metoda DDP sendFileMessage przekazuje cały obiekt pliku do Uploads.updateFileComplete, który scala go bezpośrednio z aktualizacją MongoDB $set za pomocą Object.assign, bez listy dozwolonych pól.
Rocket.Chat przed wersją 8.5.0 nie weryfikuje podpisu w wiadomościach LogoutRequest w integracji SAML. Nieautoryzowany atakujący może stworzyć fałszywe żądanie wylogowania, co prowadzi do natychmiastowego zakończenia sesji ofiary.
FOSSBilling w wersjach 0.7.2 i wcześniejszych posiada podatność w API gościa, która pozwala na tworzenie nowych kont administratorów mimo istnienia już jednego administratora. Błąd w sprawdzaniu istnienia administratora umożliwia atakującemu ominięcie zabezpieczeń.
AutoGPT, platforma do automatyzacji procesów, ma podatność na atak typu Denial of Service (DoS) w wersjach przed 0.6.52. Blok Fill Text Template nie ogranicza złożoności obliczeniowej ani czasu wykonania wyrażeń, co pozwala atakującemu na wprowadzenie kosztownych obliczeniowo wyrażeń Python/Jinja2, prowadząc do zawieszenia lub awarii systemu.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 są podatne na atak typu path traversal w punktach końcowych API dla zdjęć i filmów, co pozwala uwierzytelnionemu użytkownikowi na odczyt dowolnych plików z systemu plików.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 akceptowała nagłówek uwierzytelniający bez weryfikacji, czy żądanie pochodzi z zaufanego proxy odwrotnego. To pozwalało atakującym na podszywanie się pod użytkowników lub automatyczne tworzenie kont.
Interfejs internetowy Aclara Metrum Cellular jest podatny na nieautoryzowany dostęp z powodu braku kontroli uwierzytelniania w krytycznych funkcjach systemowych. Ta luka umożliwia atakującym modyfikację ustawień konfiguracyjnych oraz wywoływanie restartów systemu bez ograniczeń.
W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.
W pakiecie safepath projektu KubeVirt, używanym przez komponent virt-handler, wykryto lukę w funkcji OpenAtNoFollow. Funkcja ta używa flag O_PATH|O_NOFOLLOW do uzyskania deskryptora pliku, ale późniejsze operacje rozwijają ścieżkę przez /proc/self/fd/N z użyciem wywołań systemowych podążających za dowiązaniami symbolicznymi. Gdy liść ścieżki jest dowiązaniem symbolicznym, jądro je dereferencjonuje, omijając zamierzoną ochronę przed podążaniem za dowiązaniami.
Podatność w AngularJS pozwala na obejście mechanizmu Strict Contextual Escaping (SCE) dla adresów URL zasobów, co może prowadzić do wykonania dowolnego kodu JavaScript w kontekście sesji przeglądarki ofiary. Problem dotyczy błędnej logiki dopasowywania całych adresów URL do wyrażeń regularnych, co umożliwia częściowe dopasowanie i pominięcie polityk bezpieczeństwa.
W Gogs przed wersją 0.14.3, złośliwy użytkownik z uprawnieniami do tworzenia nowych plików w repozytorium lub na stronie wiki może wywołać odmowę usługi (DoS). Powoduje to, że strony z listą plików zwracają błąd HTTP 500 i uniemożliwiają korzystanie z interfejsu webowego dla danego repozytorium lub wiki.
Twenty to otwartoźródłowa platforma CRM, która przed wersją 2.9.0 była podatna na niebezpieczne bezpośrednie odniesienie do obiektów (IDOR) w monitorze agenta AI. W wyniku tej podatności, uwierzytelniony użytkownik mógł uzyskać dostęp do pełnej historii czatu innego użytkownika w tej samej instancji, wykorzystując agentId lub turnId.
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 ma lukę, która pozwala na nieprawidłowe rozpoznawanie adresów IPv4-mapped IPv6, co może prowadzić do otwarcia połączeń TCP do prywatnych adresów IPv4. Atakujący mogą wykorzystać tę lukę, publikując odpowiednie rekordy DNS.
Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23, nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym manipulację ważnymi, podpisanymi aktywnościami JSON-LD od zewnętrznych podmiotów.
Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23 miał lukę w liście zablokowanych zakresów adresów IP, co umożliwiało atakującym wykonywanie żądań HTTP do interfejsów loopback. Może to prowadzić do nieautoryzowanego dostępu do prywatnych zasobów i usług.

