Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W Envoy od wersji 1.36.0 do 1.36.9, 1.37.5 i 1.38.3 występuje podatność Use-After-Free (UAF) w filtrze HTTP ext_authz. Problem pojawia się przy równoczesnym przetwarzaniu nadpisań autoryzacji na trasie i szybkim rozłączaniu klientów, co prowadzi do błędu segmentacji i awarii procesu.
Narzędzie mise (wersje od 2026.3.15 do 2026.6.4) ładuje konfigurację github.credential_command z lokalnego pliku projektu przed podjęciem decyzji o zaufaniu, a następnie wykonuje tę wartość za pomocą sh -c podczas rozwiązywania tokena GitHub. Osoba atakująca, która umieści plik .mise.toml w repozytorium, może wykonać dowolne polecenia powłoki, gdy ofiara uruchomi polecenie mise związane z GitHub i nie zostanie ustawiona zmienna środowiskowa tokena GitHub o wyższym priorytecie.
Podatność w narzędziu mise (wersje przed 2026.6.1) umożliwia stworzenie dowiązania symbolicznego poza katalogiem instalacyjnym poprzez manipulację wersją w pliku .tool-versions. Problem występuje w backendzie HTTP, który używa niesanityzowanej wartości wersji do budowania ścieżki dowiązania.
W Envoy od wersji 1.34.0 do 1.35.13, 1.36.9, 1.37.5 i 1.38.3 występuje podatność w komponencie TcpStatsdSink, gdzie przepełnienie bufora wątkowo-lokalnego może być wywołane przez bardzo długie nazwy statystyk (np. >16 KiB). Atakujący może wysłać żądanie HTTP lub gRPC z ekstremalnie długą ścieżką (:path), która jest rejestrowana przez filtr grpc_stats z opcją stats_for_all_methods: true, co prowadzi do zapisu poza przydzieloną pamięcią sterty.
W Envoy, w przypadku skonfigurowania filtru DNS UDP z lokalnym lub zdalnym rozwiązywaniem nazw o długości 255 oktetów, zapytanie z taką nazwą powoduje nieprawidłowe zakończenie procesu. Problem wynika z błędnego założenia w czasie wykonania, że nazwa musi być krótsza niż 255 oktetów, co jest sprzeczne ze specyfikacją DNS RFC 1035.
W Envoy odkryto lukę w walidacji certyfikatów TLS, gdzie atakujący może dostarczyć certyfikat z dNSName SAN zawierającym wbudowany bajt NUL. Z powodu nieprawidłowego rzutowania na C-string, walidacja obcina nazwę domeny w miejscu NUL, co pozwala na pominięcie kontroli i autoryzację nieprawidłowego połączenia.
Envoy przed wersjami 1.35.11, 1.36.7, 1.37.3 i 1.38.1 zawiera podatność w filtrze OAuth2, gdzie funkcje encrypt()/decrypt() używają AES-256-CBC bez znacznika uwierzytelniającego. Atakujący może wykorzystać padding oracle na endpointcie /callback, aby odzyskać plaintext PKCE code_verifier z zaszyfrowanego ciasteczka CodeVerifier.
Podatność w Envoy dotyczy generatora nagłówków PROXY Protocol v2, który może emitować TLVs (Type-Length-Value) przekraczające maksymalną dozwoloną długość 65535 bajtów. Powoduje to niezgodność między zapisanymi bajtami a polem długości w nagłówku, co umożliwia przemycenie danych w żądaniu upstream.
Envoy zawiera podatność na dereferencję wskaźnika null w filtrze routera podczas obsługi wewnętrznych przekierowań HTTP 303 dla żądań bez ciała (POST, PUT, DELETE, PATCH). Atakujący może wysłać takie żądanie do odpowiednio skonfigurowanej trasy, powodując awarię całego procesu Envoy.
Envoy ulega awarii, jeśli serwer ext_proc wyśle pojedynczą wiadomość gRPC zawierającą wiele specjalnie spreparowanych odpowiedzi ProcessingResponse. Dzieje się tak, gdy pierwsza odpowiedź w partii powoduje zniszczenie obiektu strumienia gRPC, co prowadzi do błędu use-after-free podczas przetwarzania kolejnych odpowiedzi w tej samej wiadomości.
Podatność w filtrze envoy.filters.http.grpc_stats powoduje crash procesu Envoy przez dereferencję pustego wskaźnika, gdy żądanie protokołu Connect (Content-Type: application/connect+proto lub application/connect+json) trafia na trasę direct_response. Problem dotyczy wersji od 1.26.0 do 1.35.13, 1.36.9, 1.37.5 i 1.38.3.
Podatność w AutoGPT umożliwia uwierzytelnionemu użytkownikowi dostęp do punktu końcowego `POST /api/integrations/webhooks/{webhook_id}/ping` bez weryfikacji, czy webhook należy do niego. Atakujący może sprawdzić istnienie webhooka, ujawnić typ dostawcy OAuth, a w niektórych przypadkach wywołać dostarczenie pingu w imieniu innego użytkownika.
Podatność w narzędziu Podman od wersji 3.0.0 do 5.7.1 umożliwia, poprzez uruchomienie złośliwego obrazu kontenera, w którym ścieżka WORKDIR zawiera dowiązanie symboliczne, utworzenie katalogu lub zmianę właściciela na systemie plików hosta. Zmiana właściciela jest mniej prawdopodobna, ponieważ wymaga ingerencji niezaufanego procesu w celu wywołania wyścigu.
GitHub MCP Server w wersjach od 0.22.0 do 1.1.2, działając w trybie HTTP z włączonym trybem lockdown, używa globalnego singletona RepoAccessCache inicjalizowanego danymi pierwszego uwierzytelnionego użytkownika. Wszystkie kolejne zapytania od różnych użytkowników korzystają z tego samego singletona, wykonując zapytania GraphQL związane z lockdownem przy użyciu poświadczeń pierwszego użytkownika.
W Dokku przed wersją 0.38.2 polecenie git:auth tworzy plik $DOKKU_ROOT/.netrc za pomocą polecenia touch, które stosuje domyślne uprawnienia 0644. To wcześniejsze utworzenie pliku uniemożliwia wbudowane ustawienie uprawnień 0600 przez narzędzie netrc, pozostawiając dane uwierzytelniające git dostępne do odczytu dla każdego lokalnego użytkownika, który może przeglądać katalog domowy dokku.
W LXD od wersji 4.12 do 6.9 wykryto podatność SSRF w funkcji importowania obrazów. Uwierzytelniony użytkownik z uprawnieniem can_create_images może wysyłać żądania do wewnętrznej infrastruktury sieciowej przez endpoint /images. Demon LXD nie waliduje docelowych adresów IP, co pozwala na łączenie się z adresami loopback, prywatnymi zakresami RFC1918 oraz metadanymi chmury.
W KubeVirt znaleziono podatność w generatorze adnotacji sieciowych. Brak walidacji wartości networkName pozwala tenantowi z uprawnieniami kubevirt.io:edit na wstrzyknięcie kodu JSON do adnotacji v1.multus-cni.io/default-network. Gdy włączona jest funkcja ExternalNetResourceInjection (domyślnie wyłączona), Multus może podłączyć pod do dowolnej sieci w dowolnej przestrzeni nazw.
W systemie PayloadCMS w wersji 3.84.1 wykryto podatność polegającą na nieprawidłowej autoryzacji operacji odblokowywania konta. Brak wystarczającej kontroli dostępu umożliwia nieautoryzowanym użytkownikom odblokowanie kont innych osób.
W AutoGPT przed wersją 0.6.32 występuje podatność DoS w bloku ExtractTextInformationBlock. Złośliwy użytkownik może wysłać 10 KB treści, co powoduje zużycie 50 GB pamięci serwera, prowadząc do wyczerpania zasobów i odmowy usługi.
W AutoGPT przed wersją 0.6.32 występuje podatność DoS w bloku AITextSummarizerBlock. Złośliwy użytkownik może wysłać 10 KB treści, co powoduje zużycie 50 GB pamięci serwera, prowadząc do wyczerpania zasobów i odmowy usługi.

