Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność w narzędziu Nx (wersje od 17.0.4 do 22.7.2 oraz 23.0.0-beta.2) polega na tym, że lokalny serwer HTTP uruchamiany przez komendę `nx graph` ustawia nagłówek `Access-Control-Allow-Origin: *` w każdej odpowiedzi. Umożliwia to dowolnej stronie internetowej odwiedzanej przez programistę odczytanie odpowiedzi serwera w kontekście międzyźródłowym, w tym pełnego grafu projektu oraz wyniku endpointu `/help`, który wykonuje skonfigurowane polecenie pomocy dla danego celu.
W Envoy od wersji 1.37.0 do 1.37.5 oraz 1.38.3 filtr HTTP OAuth2 może pozostawić oczekujące żądanie wymiany tokena po zamknięciu strumienia downstream. Opóźniona odpowiedź AsyncClient może wywołać metody OAuth2Filter na już zwolnionym obiekcie, prowadząc do niezdefiniowanego zachowania, awarii procesu roboczego (utrata dostępności) oraz błędów use-after-free/invalid-vptr. Podatność została naprawiona w wersjach 1.37.5 i 1.38.3.
Podatność w Envoy umożliwia awarię procesu podczas logowania przy użyciu formatu %REQUESTED_SERVER_NAME(X:Y)% z opcjami HOST_FIRST lub SNI_FIRST, gdy nagłówek hosta jest nieobecny w żądaniu. Problem występuje w wersjach od 1.37.0 do 1.37.4 oraz 1.38.0 do 1.38.2.
W Envoy od wersji 1.36.0 do 1.36.9, 1.37.5 i 1.38.3 występuje podatność Use-After-Free (UAF) w filtrze HTTP ext_authz. Problem pojawia się przy równoczesnym przetwarzaniu nadpisań autoryzacji na trasie i szybkim rozłączaniu klientów, co prowadzi do błędu segmentacji i awarii procesu.
Podatność w Devolutions Remote Desktop Manager umożliwia uwierzytelnionemu atakującemu z dostępem do zapisu w udostępnionym obszarze roboczym wykonanie skryptu PowerShell w kontekście innego użytkownika poprzez kolizję nazw wyświetlanych z istniejącym linkiem do skryptu VPN. Problem dotyczy niestandardowego edytora VPN PowerShell w wersjach 2026.2.5 do 2026.2.11.
Biblioteka extract-zip nie weryfikuje celów dowiązań symbolicznych podczas rozpakowywania archiwów zip. Podczas przetwarzania złośliwego pliku zip zawierającego dowiązanie symboliczne ze ścieżką względną, taką jak '../../../../etc/passwd', extract-zip rozpakowuje dowiązanie bez walidacji, co pozwala mu wskazywać poza katalog docelowy. W zależności od sposobu użycia extract-zip, atakujący może odczytać lub zapisać dowolne pliki.
Narzędzie mise (wersje od 2026.3.15 do 2026.6.4) ładuje konfigurację github.credential_command z lokalnego pliku projektu przed podjęciem decyzji o zaufaniu, a następnie wykonuje tę wartość za pomocą sh -c podczas rozwiązywania tokena GitHub. Osoba atakująca, która umieści plik .mise.toml w repozytorium, może wykonać dowolne polecenia powłoki, gdy ofiara uruchomi polecenie mise związane z GitHub i nie zostanie ustawiona zmienna środowiskowa tokena GitHub o wyższym priorytecie.
Podatność w narzędziu mise (wersje przed 2026.6.4) umożliwia zdalne wykonanie kodu bez interakcji użytkownika. Mechanizm zaufania (trust) nie obejmuje plików zadań (task-include), co pozwala na wykonanie dowolnych poleceń przez tera templates z funkcją exec(). Wystarczy wejść do katalogu z repozytorium i wyświetlić listę zadań (np. mise tasks) lub użyć autouzupełniania Tab.
Podatność w narzędziu mise (wersje przed 2026.6.1) umożliwia stworzenie dowiązania symbolicznego poza katalogiem instalacyjnym poprzez manipulację wersją w pliku .tool-versions. Problem występuje w backendzie HTTP, który używa niesanityzowanej wartości wersji do budowania ścieżki dowiązania.
Podatność w DragonflyDB przed wersją 1.39.0 pozwala na zdalne zatrzymanie serwera poprzez wysłanie spreparowanego polecenia RESTORE. Specjalnie skonstruowany ładunek powoduje odczyt poza dozwolonym obszarem pamięci podczas ładowania kolekcji listpack, co prowadzi do awarii procesu (SIGSEGV).
Envoy przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1 nieprawidłowo przetwarza żądania HTTP/3 z nagłówkiem Content-Length o wartości niezerowej, które są zakończone na poziomie transportu (HEADERS z FIN). Powoduje to wysłanie do backendu HTTP/1 żądania z niezapłaconym długiem ciała, co umożliwia desynchronizację i ominięcie reguł routingu.
W Envoy od wersji 1.34.0 do 1.35.13, 1.36.9, 1.37.5 i 1.38.3 występuje podatność w komponencie TcpStatsdSink, gdzie przepełnienie bufora wątkowo-lokalnego może być wywołane przez bardzo długie nazwy statystyk (np. >16 KiB). Atakujący może wysłać żądanie HTTP lub gRPC z ekstremalnie długą ścieżką (:path), która jest rejestrowana przez filtr grpc_stats z opcją stats_for_all_methods: true, co prowadzi do zapisu poza przydzieloną pamięcią sterty.
W Envoy, w przypadku skonfigurowania filtru DNS UDP z lokalnym lub zdalnym rozwiązywaniem nazw o długości 255 oktetów, zapytanie z taką nazwą powoduje nieprawidłowe zakończenie procesu. Problem wynika z błędnego założenia w czasie wykonania, że nazwa musi być krótsza niż 255 oktetów, co jest sprzeczne ze specyfikacją DNS RFC 1035.
W Envoy od wersji 1.23.0 do 1.35.11, 1.36.7, 1.37.3 i 1.38.1 wykryto podatność w implementacji dekompresora zstd (ZstdDecompressorImpl). Przetwarzanie specjalnie spreparowanego, silnie skompresowanego ładunku zstd może prowadzić do ogromnej alokacji pamięci. Atakujący może wykorzystać tę podatność do wyczerpania pamięci, co skutkuje zabiciem procesu przez OOM i odmową usługi (DoS) dla proxy Envoy.
W Envoy, otwartoźródłowym proxy brzegowym i usługowym dla aplikacji chmurowych, destruktor obiektu JSON powoduje przepełnienie stosu przy głęboko zagnieżdżonych obiektach (rzędu 100 tys. poziomów). Podatność występuje przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1.
W Envoy odkryto lukę w walidacji certyfikatów TLS, gdzie atakujący może dostarczyć certyfikat z dNSName SAN zawierającym wbudowany bajt NUL. Z powodu nieprawidłowego rzutowania na C-string, walidacja obcina nazwę domeny w miejscu NUL, co pozwala na pominięcie kontroli i autoryzację nieprawidłowego połączenia.
Envoy przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1 zawiera podatność w filtrze OAuth2, gdzie funkcje encrypt()/decrypt() używają AES-256-CBC bez znacznika uwierzytelniającego. Atakujący może wykorzystać padding oracle na endpointcie /callback, aby odzyskać plaintext PKCE code_verifier z zaszyfrowanego ciasteczka CodeVerifier.
Podatność w Envoy dotyczy generatora nagłówków PROXY Protocol v2, który może emitować TLVs (Type-Length-Value) przekraczające maksymalną dozwoloną długość 65535 bajtów. Powoduje to niezgodność między zapisanymi bajtami a polem długości w nagłówku, co umożliwia przemycenie danych w żądaniu upstream.
Envoy zawiera podatność na dereferencję wskaźnika null w filtrze routera podczas obsługi wewnętrznych przekierowań HTTP 303 dla żądań bez ciała (POST, PUT, DELETE, PATCH). Atakujący może wysłać takie żądanie do odpowiednio skonfigurowanej trasy, powodując awarię całego procesu Envoy.
Envoy ulega awarii, jeśli serwer ext_proc wyśle pojedynczą wiadomość gRPC zawierającą wiele specjalnie spreparowanych odpowiedzi ProcessingResponse. Dzieje się tak, gdy pierwsza odpowiedź w partii powoduje zniszczenie obiektu strumienia gRPC, co prowadzi do błędu use-after-free podczas przetwarzania kolejnych odpowiedzi w tej samej wiadomości.

