Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W bibliotece Open Asset Import Library Assimp do wersji 6.0.4 wykryto podatność w funkcji Assimp::Exporter::ExportToBlob w pliku code/AssetLib/Ply/PlyLoader.cpp. Manipulacja w obsłudze modeli PLY prowadzi do podwójnego zwolnienia pamięci (double free). Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Podatność w webpack-dev-server w wersjach 5.2.5 i wcześniejszych powoduje zakończenie procesu Node.js po otrzymaniu od nieuwierzytelnionego peera żądania HTTP z nieprawidłowym nagłówkiem Host lub żądania WebSocket z nieprawidłowym nagłówkiem Origin. Nieprawidłowa wartość wywołuje nieobsłużony wyjątek w walidacji hosta i powoduje awarię serwera deweloperskiego.
Podatność w webpack-dev-server w wersjach do 5.2.5 włącznie ujawnia dwa wewnętrzne endpointy deweloperskie, które wykonują zmiany stanu na każdym żądaniu GET bez weryfikacji pochodzenia żądania. Każda strona internetowa odwiedzona przez dewelopera podczas działania serwera może wywołać te endpointy między domenami bez żadnej interakcji poza samą wizytą.
W implementacji Fine-Grained Admin Permissions (FGAP) v2 w Keycloak wykryto lukę, która powoduje nieprawidłowe filtrowanie grup podrzędnych na podstawie uprawnień wywołującego. Delegowany administrator może uzyskać wgląd w szczegóły grup podrzędnych, do których nie ma bezpośredniego dostępu, w tym nazwy, ścieżki i atrybuty niestandardowe.
W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.
W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.
W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń systemowych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Brak autoryzacji w oprogramowaniu pardus-software od TUBITAK BILGEM umożliwia wstrzyknięcie argumentów. Podatność dotyczy wersji 1.0.4 i wcześniejszych, a została naprawiona w wersji 1.0.5.
Podatność w oprogramowaniu pardus-software firmy TUBITAK BILGEM umożliwia wstrzykiwanie argumentów do poleceń. Problem występuje w wersjach do 1.0.4 włącznie, a został naprawiony w wersji 1.0.5.
Podatność w Dell PowerProtect Data Domain polega na użyciu mniej zaufanego źródła. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem manipulację informacjami.
Podatność w Dell PowerProtect Data Domain umożliwia atakującemu z wysokimi uprawnieniami i zdalnym dostępem wykorzystanie zewnętrznie kontrolowanego łańcucha formatującego. Może to prowadzić do ujawnienia informacji oraz odmowy usługi.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.
Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.
Podatność w Dell PowerProtect Data Domain polega na użyciu niezainicjowanego zasobu. Niskouprzywilejowany atakujący z lokalnym dostępem może wykorzystać ten błąd, prowadząc do ujawnienia informacji.
W bibliotece Net::IP::LPM dla Perla w wersjach do 1.10 występuje podatność na odczyt poza dozwolonym obszarem sterty (heap out-of-bounds read) spowodowana brakiem walidacji długości prefiksu w funkcji add(). Atakujący może przekazać nieprawidłową długość prefiksu (np. 255 dla IPv4 lub IPv6), co prowadzi do odczytu danych poza buforem adresu. Problem jest wykrywalny przez narzędzia takie jak AddressSanitizer i może spowodować przerwanie procesu.

