Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W systemie migration-planner znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na wysłanie żądania DELETE do trasy /api/v1/sources, co prowadzi do braku odpowiedniej autoryzacji i filtrowania. To umożliwia zniszczenie wszystkich danych klientów, w tym źródeł, agentów i ocen.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, punkty końcowe section-save HAProxy akceptują niezweryfikowane pole opcji JSON, co pozwala na wstrzykiwanie dowolnych dyrektyw HAProxy do konfiguracji.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, pole config_file_name w żądaniu POST /waf/<service>/<server_ip>/rule/<rule_id>/save nie jest odpowiednio walidowane, co pozwala atakującemu na zapisanie pliku w dowolnej lokalizacji na systemie plików load balancera.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, brak odpowiednich dekoratorów w niektórych punktach końcowych pozwala każdemu zalogowanemu użytkownikowi, w tym domyślnemu gościowi, na instalację i rekonfigurację eksportera, WAF oraz baz danych GeoIP na wszystkich serwerach w bazie danych Roxy-WI.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach 8.2.6.4 i wcześniejszych, funkcjonalność PUT /smon/check nie weryfikuje, czy identyfikator check_id należy do grupy użytkownika, co pozwala na nieautoryzowane modyfikacje monitorowania innych użytkowników.
Wtyczka Doctreat Core dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.6.8 włącznie. Funkcja doctreat_process_registration() nie ogranicza prawidłowo ról, które użytkownik może zarejestrować.
Wtyczka Schema & Structured Data for WP & AMP dla WordPressa przed wersją 1.60 nie sprawdza uprawnień użytkowników w swoich handlerach AJAX do przesyłania plików oraz nie weryfikuje rzeczywistej zawartości przesyłanych plików w odniesieniu do zamierzonego typu mediów, co pozwala nieautoryzowanym użytkownikom na przesyłanie dowolnych typów plików akceptowanych przez bibliotekę mediów WordPressa.
Zgłoszono podatność typu przepełnienie bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.
Zgłoszono podatność typu przepełnienia bufora w File Station 5, która może być wykorzystana przez zdalnych atakujących do modyfikacji pamięci lub awarii procesów.
Podatność została naprawiona w wersji QTS 5.2.7.3256 build 20250913 i późniejszych. QuTS hero nie jest dotknięty tą podatnością.
W komponentach esp_tee w wersjach 5.5.4 i 6.0 frameworka ESF-IDF występuje podatność, która umożliwia nieautoryzowany dostęp do zabezpieczonych usług sprzętowych. Problem ten został naprawiony w wersjach 5.5.5 i 6.0.1.
Podatność umożliwiająca zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej przez uwierzytelnionego użytkownika domeny.
Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych jest podatny na lukę związaną z nieprawidłową autoryzacją, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.
Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9394 i wcześniejszych zawiera podatność typu Server-Side Request Forgery (SSRF), która może prowadzić do eskalacji uprawnień. Wykorzystanie tej podatności nie wymaga interakcji użytkownika.
Wersje ColdFusion 2023.19, 2025.8 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.
Wersja 8.3 aplikacji bookcars zawiera podatność na niebezpieczną autoryzację w punkcie końcowym /api/social-sign-in, co pozwala atakującym na ominięcie autoryzacji za pomocą sfałszowanego tokena JWT.
Brak weryfikacji podpisu kryptograficznego w funkcji validateAccessToken w bookcars v8.3 umożliwia atakującym ominięcie uwierzytelnienia za pomocą sfałszowanego tokena JWT.
W wersji 2.2.0 biblioteki bitbank2 AnimatedGIF odkryto problem związany z przepełnieniem bufora w funkcji DecodeLZW. Umożliwia to zdalnym atakującym spowodowanie awarii systemu lub potencjalne wykonanie dowolnego kodu poprzez spreparowany plik GIF.
Router firmy Shenzhen Kangda Xin Intelligent Network Technology, model DR300, w wersji 2.1.2.121, zawiera twardo zakodowane dane logowania oraz ma domyślnie włączony telnet na interfejsach WAN i LAN. Te podatności umożliwiają atakującym odczyt i zapis w pamięci, modyfikację oprogramowania układowego, inspekcję aktywnych połączeń oraz przeglądanie aktualnie podłączonych urządzeń.
Adobe Experience Manager Forms JEE w wersjach LTS SP1, 6.5.24.0 i wcześniejszych zawiera podatność na przechowywane Cross-Site Scripting (XSS), która może być wykorzystana przez atakującego do wstrzykiwania złośliwych skryptów do podatnych pól formularzy.

