Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W bibliotece SimStudioAI sim do wersji 0.6.92 wykryto podatność w komponencie obsługi ochrony hasłem (apps/sim/lib/core/security/deployment.ts). Manipulacja prowadzi do użycia słabego skrótu (hasha), co umożliwia atak zdalny o wysokiej złożoności. Exploit został opublikowany, a naprawa oczekuje na akceptację.
W systemie Project Management System 1.0 znaleziono podatność na atak XSS w pliku /mail.php (strona komponowania wiadomości). Atak może być przeprowadzony zdalnie, a szczegóły exploitów są publicznie dostępne.
W ComfyUI-Copilot do wersji 2.0.28 znaleziono lukę w obsłudze przywracania punktów kontrolnych przepływu pracy. Problem dotyczy nieznanego przetwarzania w pliku backend/controller/conversation_api.py, co prowadzi do nieprawidłowej kontroli identyfikatorów zasobów. Atak może być przeprowadzony zdalnie, ale jest trudny do wykonania ze względu na wysoką złożoność.
W komponencie MQTT Goodbye Handler w pliku main/protocols/mqtt_protocol.cc projektu xiaozhi-esp32 do wersji 2.2.6 wykryto podatność na atak DoS. Manipulacja argumentem session_id w funkcji Application::GetInstance prowadzi do odmowy usługi. Atak jest zdalny, ale wymaga wysokiego poziomu skomplikowania.
W systemie GLPI w wersjach 11.0.5, 11.0.6 i 11.0.7 wykryto podatność w komponencie Document Handler. Funkcja Document::canViewFile w pliku front/document.send.php nieprawidłowo weryfikuje argument docid, co umożliwia ominięcie autoryzacji. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.
W komponencie MCP Response Handler w oprogramowaniu 78 xiaozhi-esp32 do wersji 2.2.6 wykryto słabość polegającą na nieprawidłowej synchronizacji w funkcji ParseMessage pliku main/mcp_server.cc. Atak zdalny jest możliwy, ale jego złożoność jest wysoka, a wykorzystanie uznawane za trudne.
W aplikacji arc53 DocsGPT do wersji 0.18.0 wykryto podatność w funkcji encrypt_credentials w pliku application/security/encryption.py. Polega ona na niewystarczającej weryfikacji autentyczności danych, co może umożliwić zdalny atak. Mimo wysokiego stopnia trudności exploita, został on opublikowany i może być wykorzystany.
Wykryto podatność w skypilot do wersji 0.12.0, dotyczącą funkcji username.encode w pliku sky/users/server.py komponentu User ID Handler. Manipulacja prowadzi do użycia słabego hasha, co umożliwia atak zdalny o wysokiej złożoności.
Podatność w 7-Zip dla Windows do wersji 26.02 pozwala na pominięcie znacznika Mark-of-the-Web podczas rozpakowywania spreparowanego archiwum RAR5. Mechanizm ochrony sprawdza dokładną nazwę 'Zone.Identifier', ale nie obsługuje rekordów STM o nazwie ':Zone.Identifier:$DATA', które NTFS kanonizuje do tego samego strumienia, nadpisując znacznik strefy internetowej wartością ZoneId=0. Drugi rekord STM '::$DATA' nadpisuje domyślny strumień danych pliku, umożliwiając atakującemu ominięcie ostrzeżeń SmartScreen/MotW i fałszowanie zawartości pliku.
Podatność w Dragonfly przed wersją 1.39.9 umożliwia wstrzyknięcie protokołu RESP przez funkcję redis.error_reply() w Lua w EvalSerializer. Uwierzytelniony użytkownik może wstrzyknąć dowolne komunikaty RESP do strumienia odpowiedzi połączenia, co może prowadzić do desynchronizacji odpowiedzi w klientach korzystających z puli połączeń.
Podatność w ASP (AMD Secure Processor) umożliwia uprzywilejowanemu atakującemu przeprowadzenie ataku brute-force na kod uwierzytelniania wiadomości (HMAC) z powodu obserwowalnych różnic czasowych. Może to prowadzić do naruszenia integralności danych poprzez wprowadzenie dowolnej wiadomości.
Podatność w Mattermost umożliwia uwierzytelnionemu atakującemu kradzież danych poprzez wstrzyknięcie składni obrazka Markdown do wyników narzędzi AI bota. Ograniczenia renderowania obrazków Markdown nie są prawidłowo stosowane do postów z wynikami narzędzi AI, co pozwala na wyciek danych do kontrolowanego przez atakującego serwera po wyrenderowaniu przez klient ofiary.
HTMLy 3.1.1 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w funkcji importowania kanałów RSS. Funkcja get_feed() w pliku system/admin/admin.php przekazuje dostarczony przez użytkownika adres URL bezpośrednio do funkcji file_get_contents() bez żadnej walidacji. Uwierzytelniony atakujący z uprawnieniami administratora może wykorzystać tę podatność, wprowadzając spreparowany adres URL (np. http://dnslog.example.com, file:///etc/passwd lub http://169.254.169.254 w kontekście chmurowym) poprzez narzędzia -> Importuj RSS. Serwer następnie wysyła żądanie do kontrolowanego przez atakującego celu.
W JetBrains YouTrack przed wersją 2026.2.16593 mostek websandbox był podatny na atak typu prototype pollution. Podatność ta może pozwolić atakującemu na manipulację prototypem obiektów w środowisku wykonawczym.
W JetBrains YouTrack przed wersją 2026.2.16593 odkryto podatność umożliwiającą ujawnienie ustawień projektu poprzez protokół MCP. Luka ta pozwala nieautoryzowanym użytkownikom na dostęp do wrażliwych konfiguracji projektów.
Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.
Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
W KubeVirt znaleziono podatność w serwerze downward metrics virtio-serial. Serwer odczytuje żądania gościa za pomocą textproto.Reader.ReadLine(), który buforuje dane wejściowe bez ograniczenia długości lub limitu czasu, dopóki nie otrzyma znaku nowej linii. Użytkownik z dostępem do maszyny wirtualnej z skonfigurowanym urządzeniem downward metrics virtio-serial może wysłać ciągły strumień bajtów, powodując nieograniczoną alokację pamięci w procesie virt-handler, aż do jego zabicia przez OOM.
Podatność w Bitwarden Server przed wersją 2026.5.0 umożliwia wstrzykiwanie JSON przez funkcję IntegrationTemplateProcessor.ReplaceTokens(), która podstawia wartości kontrolowane przez użytkownika do szablonów integracji zdarzeń bez kodowania JSON. Uwierzytelniony członek organizacji może ustawić swoją nazwę wyświetlaną na metaznaki JSON i wstrzyknąć dowolne pary klucz-wartość do przetwarzanych danych wysyłanych do webhooków, SIEM, Slack, Teams lub Datadog.
Podczas tworzenia pokoju (room) nieprawidłowo sprawdzano uprawnienia, co pozwala atakującym na tworzenie pokojów typów, do których nie powinni mieć dostępu.

