Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W Vimie przed wersją 9.2.0653 funkcja tree_count_words() w pliku src/spellfile.c zapisuje dane poza stosem podczas przetwarzania spreparowanych plików .spl/.sug. Atakujący może wykorzystać tę podatność do spowodowania awarii edytora poprzez przepełnienie bufora na stosie.
3X-UI to panel sterowania do zarządzania serwerami Xray-core. Przed wersją 3.3.1, uwierzytelniony administrator mógł nadużyć funkcji importu bazy danych, co prowadziło do możliwości zapisu dowolnych plików na hoście poprzez modyfikację wartości konfiguracyjnych Xray przechowywanych w bazie danych.
Wersje List::SomeUtils::XS przed 0.59 dla Perla mają podatność na przepełnienie bufora w funkcji pairwise. Problem polega na tym, że funkcja ta nieprawidłowo zarządza pamięcią, co może prowadzić do nadpisania obszaru pamięci.
Złośliwa zawartość HTML zawarta w specyfikacji układu PDF mogła zostać wykonana po otwarciu edytora PDF w przeglądarce. Umożliwia to jednemu użytkownikowi backendu wstrzyknięcie JavaScriptu do kontekstu przeglądarki innego użytkownika backendu.
Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby umożliwia pozostawienie wskaźnika Ruby do zwolnionej pamięci podczas zmiany wartości atrybutu XML. Może to prowadzić do odczytu z nieprawidłowego adresu i potencjalnego segfaulta.
Podatność w bibliotece Nokogiri dla języka Ruby powoduje wywołanie dereferencji wskaźnika NULL podczas wywoływania określonych metod na zaalokowanych, ale niezainicjalizowanych natywnych klasach opakowujących dziedziczących po Nokogiri::XML::Node. Problem został naprawiony w wersji 1.19.4.
Podatność w bibliotece Nokogiri (wersje przed 1.19.4) dla języka Ruby. Wywołanie metody Document#encoding= z nieprawidłowym kodowaniem (np. niebędącym ciągiem znaków lub zawierającym bajt null) powoduje zwolnienie pamięci przechowującej bieżące kodowanie dokumentu bez jej zastąpienia. Kolejne odwołanie do Document#encoding odczytuje zwolnioną pamięć, co może prowadzić do błędu segfault lub wycieku danych do obiektu String w Ruby. Problem dotyczy tylko implementacji CRuby (libxml2); JRuby nie jest zagrożony.
Podatność w bibliotece Nokogiri dla języka Ruby umożliwia odczyt poza zakresem pamięci przez metodę Nokogiri::XML::NodeSet#[] (oraz jej alias #slice). Problem wynika z błędnego sprawdzania zakresu indeksu, który jest obcinany do 32 bitów przed walidacją, co pozwala na użycie bardzo dużego ujemnego indeksu i odczyt poza przydzieloną pamięcią. Na CRuby prowadzi to do awarii procesu, a na JRuby do zwrócenia nieprawidłowego węzła.
Dell Display and Peripheral Manager (DDPM Mac) w wersjach przed 2.3 zawiera podatność na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemowych, co prowadzi do możliwości wykonania poleceń przez atakującego z niskimi uprawnieniami.
Winstone Servlet Engine w wersji do 0.9.10 zawiera podatność na traversję ścieżek, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wysyłanie żądań HTTP GET z sekwencjami dot-dot-slash. Atakujący mogą uzyskać dostęp do plików poza katalogiem webroot, co może prowadzić do ujawnienia wrażliwych danych.
W wersjach Forminator do 1.53.1 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
W wersjach JS Help Desk do 3.1.1 występuje podatność, która pozwala subskrybentom na dowolne usuwanie plików.
Podatność typu PHP Object Injection wtyczki EventPrime w wersjach do 4.3.4.1 umożliwia subskrybentom wstrzyknięcie złośliwych obiektów PHP. Może to prowadzić do zdalnego wykonania kodu lub innych nieautoryzowanych działań na serwerze.
Wtyczka TablePress dla WordPressa w wersji 3.3.1 i starszych zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
Wersje Post Snippets do 4.0.19 zawierają podatność na zdalne wykonanie kodu (RCE), co może umożliwić atakującym uruchomienie nieautoryzowanego kodu na serwerze.
W wersjach Advanced Order Export For WooCommerce do 4.0.9 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez atakujących do wstrzykiwania złośliwego kodu.
Wtyczka Master Slider w wersjach do 3.11.2 zawiera podatność na nieuwierzytelniony atak typu Cross Site Scripting (XSS). Osoba atakująca może wstrzyknąć złośliwy kod JavaScript bez konieczności logowania.
W wersjach H5P do 1.17.6 występuje podatność na nieautoryzowane ataki Cross Site Scripting (XSS). Atakujący może wykorzystać tę lukę do wstrzykiwania złośliwego kodu JavaScript.
Wtyczka WP Activity Log w wersjach do 5.6.3.1 zawiera podatność typu Cross Site Scripting (XSS), która może być wykorzystana przez subskrybentów.
Podatność w APIExperts Square dla WooCommerce pozwala na wstrzyknięcie wrażliwych informacji do wysyłanych danych, co umożliwia ich późniejsze odzyskanie.

