Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.
W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.
W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność typu użycia zewnętrznie kontrolowanego łańcucha formatującego w systemie Dell PowerProtect Data Domain. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę, prowadząc do ujawnienia informacji i odmowy usługi.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.
Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane zniszczenie danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami z powodu błędnej autoryzacji. Problem dotyczy wielu wersji oprogramowania, w tym LTS2024, LTS2025 i LTS2026.
W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Lokalny atakujący z wysokimi uprawnieniami może wykorzystać tę lukę do ujawnienia poufnych informacji.
Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznych zasobów. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu.
W systemach Dell PowerProtect Data Domain w wersjach od 7.7.1.0 do 8.6 oraz w wydaniach LTS2026, LTS2025 i LTS2024 wykryto podatność związaną z nieprawidłową kontrolą dostępu w mechanizmie RBAC. Niskouprzywilejowany atakujący z dostępem zdalnym może potencjalnie wykorzystać tę lukę do manipulacji informacjami.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa do wersji 2.0.7 włącznie zawiera podatność na lokalne dołączanie plików. Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.
Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.
Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka poprzez atrybut dynamicznego linku 'linkMetaFieldType' we wszystkich wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Motyw Zakra dla WordPressa w wersjach do 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w meta polach rejestrowanych przez REST API pozwala uwierzytelnionym atakującym (od poziomu Współautora) na wstrzykiwanie złośliwych skryptów, które wykonują się przy każdym dostępie do strony.

