Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Użytkownik Joomla z uprawnieniami K2 do tworzenia elementów (domyślnie rola Autora) może przesłać artykuł, w którym pole POST `embedVideo` zawiera surowy znacznik `<script>`. K2 przechowuje go dosłownie i wyświetla bez kodowania każdemu odwiedzającemu stronę artykułu.
Podatność SQL injection w Nessus umożliwia atakującemu stworzenie złośliwego pliku wyników skanowania, który po zaimportowaniu przez uprzywilejowanego użytkownika wstrzykuje złośliwy kod SQL do bazy danych wyników skanowania, potencjalnie umożliwiając wyciek danych tych wyników.
Podatność umożliwia wstrzyknięcie treści HTML, w tym znaczników <img>, do kontekstów renderowania PDF. Jeśli atrybut src takiego obrazu wskazuje na adres URL, silnik renderujący PDF pobiera obraz z tego miejsca i wyświetla go, co prowadzi do wycieku informacji o serwerze renderującym oraz potencjalnie stwarza wektor SSRF w sieci lokalnej.
Wtyczka pretix-pages umożliwia wstrzyknięcie złośliwego kodu HTML do treści strony. Atakujący może wykorzystać tę podatność do umieszczenia niebezpiecznych treści na stronie.
Podatność umożliwia wstrzyknięcie złośliwego kodu HTML na stronę wyświetlaną przez pretix podczas przekierowania do niezaufanej lokalizacji. Ze względu na zastosowaną politykę bezpieczeństwa treści (CSP), atak może być wykorzystany głównie do celów phishingowych.
Podatność w bibliotece Nokogiri dla języka Ruby dotyczy nieprawidłowego egzekwowania opcji NONET w implementacji JRuby. Opcja ta, domyślnie włączona dla Nokogiri::XML::Schema (zgodnie z CVE-2020-26247), nie zapobiegała pobieraniu zasobów zewnętrznych przez sieć podczas parsowania schematu, co mogło prowadzić do ataków SSRF lub XXE. Problem został naprawiony w wersji 1.19.4.
Wtyczka pretix-digital jest podatna na wstrzykiwanie złośliwego kodu HTML do renderowanej treści. Atakujący może wykorzystać tę lukę do osadzenia dowolnego kodu HTML, co może prowadzić do ataków typu cross-site scripting (XSS).
Podatność w Devolutions Server w wersjach 2026.2.4.0 do 2026.2.7.0 umożliwia uwierzytelnionemu użytkownikowi z uprawnieniem UserGroupsView wymuszenie uwierzytelnienia po stronie serwera na kontrolowanym przez atakującego hoście. Poprzez spreparowany parametr DomainName w punktach końcowych wykrywania PAM AD, atakujący może przechwycić dane uwierzytelniające dostawcy PAM w postaci odpowiedzi wyzwania NTLMv2.
Podatność pozwala atakującemu na wysłanie spreparowanego rekordu EDNS OPT, który zostanie zignorowany przez reguły filtrowania DNSdist, ale po wstawieniu EDNS Client Subnet zostanie przepisany jako prawidłowy rekord OPT, przez co backend zobaczy opcje EDNS, które DNSdist nie przefiltrował.
Atakujący może opóźnić przetwarzanie zapytań DoH3, wysyłając zapytania GET DoH3 z nieprawidłową ramką DATA.
Atakujący wysyłający dużą liczbę spreparowanych zapytań DNS może spowodować wstawienie dynamicznego bloku z wartością, która generuje nieprawidłowe dane w punkcie końcowym Prometheus. Punkt końcowy Prometheus będzie następnie odrzucany przez scraper aż do wygaśnięcia dynamicznego bloku.
Podatność w Apache Shiro polega na braku weryfikacji wieku ciasteczka 'Remember me' po stronie serwera. Umożliwia to atakującemu przechwycenie ważnego ciasteczka i jego nieograniczone ponowne wykorzystanie, nawet po upływie skonfigurowanego czasu wygaśnięcia. Problem dotyczy wersji od 1.2.4 do 2.x oraz 3.0.0-alpha-1, gdy włączona jest funkcja RememberMe.
Podatność typu Relative Path Traversal w Apache Kvrocks umożliwia atakującemu dostęp do plików poza zamierzonym katalogiem. Problem dotyczy wersji od 1.0.0 do 2.15.0.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z niestandardowymi uprawnieniami roli przeglądanie, tworzenie lub usuwanie konfiguracji chronionego środowiska, mimo że widoczność CI/CD była wyłączona dla projektu.
Podatność Path Traversal w funkcji create_archive wtyczki Compression InsightConnect firmy Rapid7 na systemie Linux umożliwia uwierzytelnionym atakującym zapis do nieprzewidzianych ścieżek plików poprzez spreparowaną nazwę pliku. Wpływ jest ograniczony do uszkodzenia plików, ponieważ atakujący nie kontroluje ich zawartości.
W Appsmith przed wersją 1.99, endpoint POST /api/v1/admin/send-test-email akceptuje kontrolowane przez atakującego wartości smtpHost i smtpPort, nawiązując surowe połączenie TCP JavaMail bez walidacji IP. Obejście to całkowicie pomija filtr IP WebClientUtils, który dotyczy tylko żądań HTTP Spring WebClient. Ponadto, surowy komunikat MailException.getMessage() jest zwracany w odpowiedzi API, co umożliwia skanowanie portów i enumerację bannerów usług na podstawie błędów.
W Cacti w wersjach 1.2.30 i starszych, funkcja rrdtool_function_update() używa lokalnie zależnego formatowania dziesiętnego, co może powodować uszkodzenie wartości metryk RRDtool. Gdy lokalizacja serwera używa przecinka jako separatora dziesiętnego (np. de_DE), wartość 1.5 jest konwertowana na „1,5”, podczas gdy RRDtool oczekuje kropki. Prowadzi to do przesunięcia danych do niewłaściwych kolumn lub ich cichego pominięcia.
Gogs przed wersją 0.14.3 zawiera podatność na atak DoS polegającą na panicznym zakończeniu działania podczas renderowania specjalnie spreparowanego wzorca indeksu zgłoszenia. Brak domknięcia nawiasu klamrowego w konfiguracji powoduje błąd w funkcji RenderIssueIndexPattern, co uniemożliwia dostęp do stron zawierających odwołania do zgłoszeń.
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 i 7.10.12 polega na braku unieważnienia tokenów OAuth (zarówno access, jak i refresh) po dezaktywacji użytkownika. Dezaktywowany użytkownik może nadal używać istniejącego tokena dostępu lub wygenerować nowy token na podstawie posiadanego tokena odświeżania.

