Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność umożliwiająca obejście polityki tego samego pochodzenia w komponencie Networking: HTTP. Została naprawiona w Firefox 151, Firefox ESR 140.11, Thunderbird 151 oraz Thunderbird 140.11.
Podatność w komponencie DOM: Networking umożliwia obejście polityki same-origin. Luka została naprawiona w przeglądarce Firefox 151 i kliencie poczty Thunderbird 151.
Podatność w Apache Camel dotyczy braku filtrowania przychodzących nagłówków w implementacjach CXF i Knative. Niezautoryzowany atakujący może wstrzyknąć wewnętrzne nagłówki Camel (np. CamelExecCommandExecutable, CamelFileName) przez żądania HTTP do punktów końcowych CXF-RS lub CXF-SOAP, co przy przekazywaniu wiadomości do komponentów sterowanych nagłówkami (np. camel-exec, camel-file) umożliwia zdalne wykonanie kodu lub zapis dowolnych plików.
Wersje HestiaCP od 1.9.0 do 1.9.4 zawierają podatność na deserializację w komponencie terminala webowego, spowodowaną niezgodnością formatu sesji między PHP a Node.js. Umożliwia to nieautoryzowanym atakującym zdalne wykonanie kodu na poziomie root.
Wtyczka Piotnet Forms dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'piotnetforms_ajax_form_builder' w wersjach do 2.1.40 włącznie. Wtyczka używa niekompletnej czarnej listy rozszerzeń, co pozwala na przesyłanie niebezpiecznych plików.
W jądrze Linuxa wykryto podatność w module pcrypt, która nieprawidłowo obsługuje żądania z flagą MAY_BACKLOG. Żądania te mogą zwracać kod błędu EBUSY, co wymaga odpowiedniego sprawdzenia i odfiltrowania powiadomień EINPROGRESS.
Rozszerzenie przekazuje ciasteczko kontrolowane przez atakującego bezpiecznie przetwarzając dane do funkcji PHP unserialize(). Zdalny, nieautoryzowany atakujący może dostarczyć spreparowany ładunek, co prowadzi do wstrzyknięcia obiektów PHP i zdalnego wykonania kodu na serwerze TYPO3.
W podatności CVE-2026-45434 w Apache OFBiz występuje błąd w logice zmiany hasła, który może prowadzić do zdalnego wykonania kodu. Problem dotyczy wersji przed 24.09.06.
W podatności CVE-2026-41919 występuje niewłaściwa neutralizacja specjalnych elementów używanych w zapytaniach LDAP, co prowadzi do podatności na ataki typu LDAP Injection w Apache OFBiz.
Podatność związana z użyciem zakodowanego klucza kryptograficznego w Apache OFBiz. Problem dotyczy wersji przed 24.09.06.
W MLflow w wersji 3.9.0 funkcja Asystenta MLflow wprowadziła nieprawidłową walidację pochodzenia żądań w endpointach /ajax-api. Luka umożliwia zdalnemu atakującemu wykorzystanie żądań międzyoriginowych ze złośliwej strony internetowej do interakcji z Asystentem MLflow działającym na lokalnym komputerze ofiary.
Wtyczka Piotnet Addons for Elementor Pro dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'pafe_ajax_form_builder' we wszystkich wersjach do 7.1.70 włącznie. Wtyczka używa niekompletnej czarnej listy rozszerzeń, co pozwala na przesyłanie niebezpiecznych plików.
Niebezpieczne użycie funkcji eval() w Pythonie na danych otrzymanych z serwera w funkcji vector_in() w amazon-redshift-python-driver przed wersją 2.1.14 pozwala złośliwemu serwerowi lub atakującemu typu man-in-the-middle na wykonanie dowolnego kodu na kliencie.
Dokploy to darmowa platforma PaaS, która w wersjach 0.26.6 i poniżej ma podatność na wstrzykiwanie poleceń systemowych przez parametr appName. Problemy wynikają z niewystarczającej sanitizacji wejścia, braku walidacji schematu oraz bezpośredniej interpolacji w powłokę.
WebdriverIO w wersjach poniżej 9.24.0 zawiera podatność na wstrzykiwanie poleceń, prowadzącą do zdalnego wykonania kodu (RCE) podczas orkiestracji testów. Git pozwala na używanie znaków specjalnych w nazwach gałęzi, a funkcja getGitMetadataForAISelection() przekazuje je bezpośrednio do wywołań execSync() bez sanityzacji. Atakujący może wykorzystać złośliwe repozytorium z odpowiednio spreparowaną nazwą gałęzi, aby wykonać dowolny kod.
W lwIP w wersjach do 2.2.1 zidentyfikowano podatność w funkcji snmp_parse_inbound_frame w pliku src/apps/snmp/snmp_msg.c komponentu snmpv3 USM Handler. Manipulacja argumentem msgAuthenticationParameters prowadzi do przepełnienia bufora na stosie.
DumbAssets w wersji do 1.0.11 zawiera podatność na traversję ścieżki w punkcie końcowym POST /api/delete-file, co pozwala nieautoryzowanym atakującym na usuwanie dowolnych plików poprzez dostarczenie sekwencji ../, które omijają walidację granic katalogów.
Nieprawidłowa autoryzacja w Azure Local Disconnected Operations umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
W oprogramowaniu NOVUS AirGate 4G w wersji 1.1.16 wykryto podatność w punkcie końcowym /uci/get/. Brak odpowiedniej kontroli dostępu umożliwia nieuwierzytelnionemu atakującemu uzyskanie danych logowania administratora poprzez spreparowane żądanie POST.
Podatność w projekcie ChromaDB w wersji 1.0.0 i nowszych umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu na serwerze. Wystarczy wysłać złośliwe repozytorium modelu z parametrem trust_remote_code ustawionym na true do endpointu /api/v2/tenants/{tenant}/databases/{db}/collections.

