Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka PrivateContent dla WordPressa zawiera podatność polegającą na nieprawidłowym przypisaniu uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji od n/a do 9.9.2 włącznie.
Wtyczka pretix-oppwa do systemu pretix niebezpiecznie łączyła parametr resourcePath z URL-em API, co pozwalało atakującemu przekierować żądanie na własny serwer i przechwycić token dostępu do systemu płatności Oppwa. Luka została załatana poprzez ścisłą walidację URL-i API.
Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje rozbieżność w interpretacji zakodowanego ukośnika (%2F) między middleware a routerem Fastify. Atakujący może ominąć middleware używane do uwierzytelniania, autoryzacji lub ograniczania prędkości, wysyłając spreparowane żądanie z zakodowanym ukośnikiem w parametrze ścieżki.
Wtyczka SMS Alert dla WordPressa (do wersji 3.9.5) umożliwia nieuwierzytelnionemu atakującemu przejęcie konta administratora poprzez zmianę adresu e-mail i zresetowanie hasła. Podatność występuje, gdy włączona jest weryfikacja OTP przy resetowaniu hasła, a administrator ma ustawiony numer telefonu.
Podatność w komunikacji Control-M/Server pozwala nieuwierzytelnionemu atakującemu na wykonanie nieautoryzowanych komend z powodu niedostatecznego filtrowania danych wejściowych. Problem dotyczy wersji 9.0.20.x do 9.0.21.200 oraz potencjalnie wcześniejszych nieobsługiwanych wersji.
UltraVNC repeater w wersji do 1.8.2.2 zawiera globalne przepełnienie bufora w osadzonym serwerze administracyjnym HTTP. Funkcje wi_senderr() i wi_replyhdr() w pliku repeater/webgui/webutils.c zapisują dostarczony przez wywołującego URI żądania HTTP do stałego 1000-bajtowego globalnego bufora (hdrbuf) za pomocą niesprawdzonych wywołań sprintf. Bufor odbioru HTTP akceptuje URI o długości do około 150 KB (WI_RXBUFSIZE = 153600), więc nieuwierzytelniony atakujący, który może dotrzeć do portu HTTP repeatera (domyślnie TCP 80), może przepełnić hdrbuf o co najmniej 500 bajtów pojedynczym żądaniem HTTP zawierającym URI o długości 1500 bajtów lub więcej, uszkadzając sąsiednie zmienne globalne w segmencie .bss. Przepełnienie następuje przed jakąkolwiek kontrolą uwierzytelnienia, co czyni je osiągalnym bez poświadczeń. Zdalny, nieuwierzytelniony atakujący może uzyskać zdalne wykonanie kodu na hoście uruchamiającym repeater.
UltraVNC repeater do wersji 1.8.2.2 inicjalizuje serwer administracyjny HTTP z zakodowanym na stałe domyślnym hasłem. Przy pierwszym uruchomieniu, gdy brak pliku settings2.txt, zapisywane jest hasło "adminadmi2" dla administratora. Uwierzytelnianie Basic-auth nie ma ograniczeń prędkości ani blokady, co pozwala zdalnemu atakującemu na łatwe przejęcie kontroli nad konfiguracją repeatera.
Wtyczka WP-BusinessDirectory dla WordPressa w wersji do 4.0.1 zawiera podatność na nieuwierzytelnione usuwanie dowolnych plików. Problem wynika z niewystarczającej walidacji ścieżki w metodzie remove() klasy JBusinessDirectoryControllerUpload, co pozwala atakującemu na manipulację parametrem _filename i usunięcie krytycznych plików serwera.
Grav CMS przed wersją 2.0.0-beta.2 zawiera wiele podatności umożliwiających wykonanie kodu. Trzy niebezpieczne wywołania unserialize() w komponentach Scheduler\JobQueue, Framework\Cache\Adapter\FileCache oraz Session deserializują niezaufane dane bez ograniczeń klas, co pozwala na wstrzyknięcie obiektów PHP i, poprzez łańcuch gadżetów, na zdalne wykonanie kodu. Dodatkowo, polecenie git clone w InstallCommand nie zabezpiecza parametrów branch, url i path, co umożliwia wstrzyknięcie poleceń systemowych podczas instalacji wtyczek/motywów (wymaga dostępu administratora). Występuje również obejście bloklisty Twig (wstrzyknięcie szablonów po stronie serwera).
Storage Concentrator (SC i SCVM) zawiera podatność na wstrzykiwanie poleceń w skrypcie debug.pl, dostępną bez uwierzytelnienia. Zdalny atakujący może wysłać specjalnie spreparowane żądanie HTTP z złośliwym ładunkiem, który jest przetwarzany bez odpowiedniej sanitacji wejścia, co prowadzi do wykonania dowolnego polecenia z uprawnieniami roota.
Podatność typu command injection w usłudze ms_service.pl Storage Concentrator (SC & SCVM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń z uprawnieniami roota poprzez wysłanie spreparowanego pakietu sieciowego na domyślny port TCP 9000.
Flowise przed wersją 3.1.0 (dotknięte wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego sekretu ('flowise') dla middleware express-session, gdy zmienna środowiskowa EXPRESS_SESSION_SECRET nie jest ustawiona. Ponieważ ten domyślny sekret jest publicznie widoczny w kodzie źródłowym, atakujący może sfałszować ważne podpisane ciasteczka sesji, aby podszyć się pod dowolnego użytkownika i ominąć uwierzytelnianie.
Podatność SQL injection w Storage Concentrator (SC & SCVM) występuje przez wartości ciasteczek przetwarzane przez skrypty login.pl i debug.pl. Niezabezpieczone dane z ciasteczek są bezpośrednio włączane do zapytań do bazy danych, co pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami i wyodrębnienie wrażliwych informacji, takich jak tokeny sesji, hashe haseł i tajne klucze.
Storage Concentrator (SC & SCVM) zawiera zakodowane na stałe poświadczenia dla wielu wewnętrznych usług, przechowywane w pliku konfiguracyjnym. Mimo że poświadczenia są zakodowane, kodowanie to można odwrócić do postaci jawnego tekstu.
Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu i zapisu poza dozwolonym zakresem pamięci.
Podatność Use-After-Free w komponencie Chromoting w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez złośliwy ruch sieciowy. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność w DevTools w Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem wynika z nieprawidłowej implementacji w DevTools.
Podatność Use-After-Free w komponencie Updater przeglądarki Google Chrome na systemie Windows przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Niewystarczające egzekwowanie zasad w komponencie Mojo w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiało zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie Text. Umożliwiło to zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML.

