Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W projekcie GPAC/MP4Box w wersji 2.5-DEV-rev1593-gfe88c3545-master wykryto podatność na przepełnienie bufora. Funkcja gf_filter_pid_inst_swap_delete_task() w pliku filter_core/filter_pid.c nieprawidłowo uzyskuje dostęp do zwolnionych obiektów podczas czyszczenia instancji PID po operacji zamiany/usunięcia, co prowadzi do użycia po zwolnieniu (use-after-free) na stercie.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała lukę w punkcie końcowym sanitarnego przetwarzania notatników Jupyter (ipynb) na POST /-/api/sanitize_ipynb, pozwalającą na wprowadzenie dowolnych danych URI bez odpowiednich ograniczeń, co może prowadzić do ataków typu Cross-Site Scripting (XSS).
Gogs, otwartoźródłowa usługa Git, przed wersją 0.14.3 ma podatność na ujawnienie informacji bez uwierzytelnienia. Punkt końcowy GET /api/v1/orgs/:orgname/teams zwraca wszystkie zespoły dla dowolnej organizacji bez wymogu uwierzytelnienia.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 była podatna na nieautoryzowany, asymetryczny atak typu Denial of Service (DoS) poprzez wbudowany serwer SSH. Atakujący mógł otworzyć wiele połączeń TCP do portu SSH, co prowadziło do wyczerpania deskryptorów plików i destabilizacji całego procesu Gogs.
W Gogs przed wersją 0.14.3 tokeny resetowania hasła są generowane z czasem życia aktywacji konta (conf.Auth.ActivateCodeLives), a nie z czasem życia resetowania hasła (conf.Auth.ResetPasswordCodeLives). Czas życia tokena jest osadzony w nim podczas generowania i ponownie odczytywany podczas weryfikacji, co sprawia, że ustawienie RESET_PASSWORD_CODE_LIVES jest nieskuteczne. Nawet jeśli administrator skonfiguruje krótszy czas resetowania (np. 10 minut), tokeny pozostają ważne przez pełny czas aktywacji, a e-mail z resetem fałszywie informuje o krótszym terminie ważności.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała problem z renderowaniem nazw kamieni milowych. Dzięki domyślnemu auto-escapowaniu w Go, możliwe było wstrzyknięcie HTML/JavaScript poprzez interakcję z rozwijanym menu w Semantic UI.
Gogs to otwartoźródłowy, samodzielnie hostowany serwis Git. Przed wersją 0.14.3, administrator repozytorium z uprawnieniami współpracownika może eskalować swoje uprawnienia do poziomu właściciela, wykorzystując błąd off-by-one w funkcji ChangeCollaborationAccessMode. Luka została naprawiona w wersji 0.14.3.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 zawierała podatność na otwarte przekierowania. Parametry redirect_to kontrolowane przez atakującego mogły omijać walidację, co pozwalało na przekierowanie do dowolnych zewnętrznych stron.
Gogs to otwartoźródłowa usługa Git, która w wersji 0.14.3 i wcześniejszych pozwala uwierzytelnionym użytkownikom na obserwowanie prywatnych repozytoriów, do których nie mają dostępu. Problem wynika z błędnie zaimplementowanej kontroli dostępu w API Watch, co umożliwia atakującym dostęp do informacji z prywatnych repozytoriów.
Mastodon, serwer społecznościowy oparty na ActivityPub, ma lukę w wersjach od 4.3.0 do 4.5.11 oraz 4.4.18, która pozwala na modyfikację wartości attributionDomains w podpisanych aktywnościach. Błąd w definicji tego terminu uniemożliwia skuteczne weryfikowanie podpisów Linked Data.
W punkcie końcowym visitors.info w Rocket.Chat zwracany jest token uwierzytelniający w odpowiedzi API. Nie ma uzasadnionego przypadku użycia dla obecności tego tokena w odpowiedzi, a jego wyciek stanowi zagrożenie bezpieczeństwa. Podatność została załatana w wersjach 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 oraz 7.10.12.
W wersjach przed 8.5.0 komponent ImageElement w Rocket.Chat renderuje wartości src kontrolowane przez użytkownika bez sanitizacji protokołów. Umożliwia to wstawienie złośliwego URL z protokołem javascript:, co może prowadzić do wykonania dowolnego kodu JavaScript w sesji użytkownika.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 są podatne na atak typu path traversal w punktach końcowych API dla zdjęć i filmów, co pozwala uwierzytelnionemu użytkownikowi na odczyt dowolnych plików z systemu plików.
W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.
W Gogs przed wersją 0.14.3, złośliwy użytkownik z uprawnieniami do tworzenia nowych plików w repozytorium lub na stronie wiki może wywołać odmowę usługi (DoS). Powoduje to, że strony z listą plików zwracają błąd HTTP 500 i uniemożliwiają korzystanie z interfejsu webowego dla danego repozytorium lub wiki.
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.
Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23, nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym manipulację ważnymi, podpisanymi aktywnościami JSON-LD od zewnętrznych podmiotów.
W systemie zarządzania treścią Ghost, od wersji 5.46.1 do 6.21.2, walidacja filtrów na publicznych punktach API mogła być częściowo obejściowa, co umożliwiało ujawnienie prywatnych pól poprzez atak brute force. W przypadku użycia SQLite, hasła były w pełni dostępne, natomiast w przypadku MySQL, wielkość liter w hasłach została utracona, co mogło uniemożliwić dalsze ataki brute force.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1 niewystarczająca walidacja typu Content-Type dostarczanego przez klienta na końcówce API do przesyłania plików umożliwiła serwowanie przesłanych plików z wybranym przez atakującego typem treści z backendów S3/GCS.

