Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.3.2 poprawka dla CVE-2026-39337 jest niekompletna, co pozwala na zdalne wykonanie kodu przed uwierzytelnieniem poprzez nieoczyszczoną zmienną DB_PASSWORD.
Thymeleaf, silnik szablonów Java, ma lukę w zabezpieczeniach przed wersją 3.1.5.RELEASE, która pozwala na obejście mechanizmów wykonania wyrażeń. W przypadku przekazania do silnika szablonów niesanitarnych zmiennych, które zawierają niebezpieczne wyrażenia, może dojść do wykonania tych wyrażeń w kontekście sandboxa, co prowadzi do ataku typu Server-Side Template Injection (SSTI).
Scramble generuje dokumentację API dla projektów Laravel. W wersjach od 0.13.2 do przed 0.13.22, gdy punkty końcowe dokumentacji są publicznie dostępne, a reguły walidacji odnoszą się do danych kontrolowanych przez użytkownika, dostarczone dane mogą być oceniane podczas generowania dokumentacji, co prowadzi do wykonania dowolnego kodu PHP w kontekście aplikacji.
W wersjach przed 4.08.010, funkcja elfinder_checkRisk w efw4.X nie weryfikuje parametru dst używanego przez elfinder_paste, co pozwala atakującemu na kopiowanie lub przenoszenie plików z katalogu domowego do dowolnej lokalizacji poprzez ustawienie dst na zakodowaną w base64 ścieżkę przejścia.
W efw4.X przed wersją 4.08.010, metoda efw.file.FileManager.unZip nie sprawdzała ścieżki kanonicznej przy zapisywaniu wpisów zip na dysku, co pozwalało na wyjście poza zamierzony katalog. Atakujący mógł wykorzystać tę lukę do umieszczenia złośliwego pliku JSP i wykonywania dowolnych poleceń jako użytkownik Tomcat.
W wger przed wersją 2.6 występuje podatność, która pozwala użytkownikowi z uprawnieniami gym.manage_gym na zresetowanie hasła dowolnego użytkownika bez przypisania do siłowni. Wykorzystując błąd w porównaniu obiektów, atakujący może przejąć konto ofiary, a oryginalne hasło ofiary zostaje unieważnione.
W wersjach przed 3.3.8, parser formularzy wieloczęściowych WebServer w arduino-esp32 alokuje tablicę o zmiennej długości na stosie, której rozmiar zależy od kontrolowanego przez atakującego pola nagłówka HTTP. Przekroczenie długości granicy większej niż ~8000 znaków prowadzi do przepełnienia stosu i potencjalnego wykonania zdalnego kodu.
django-s3file przed wersją 7.0.2 jest podatny na ataki typu traversal, które pozwalają atakującemu na ucieczkę z pre-signed upload locations i załadowanie plików z losowych lokalizacji do request.FILES. Może to prowadzić do problemów z poufnością i integralnością danych.
Exim w wersjach przed 4.99.3, w określonych konfiguracjach GnuTLS, ma podatność typu use-after-free w ścieżce analizy ciała BDAT. Może to prowadzić do uszkodzenia sterty, gdy klient wyśle powiadomienie TLS close_notify w trakcie transferu CHUNKING, a następnie ostatni bajt w czystym tekście na tym samym połączeniu TCP.
Pulpy to lekka, wieloplatformowa aplikacja do pakowania aplikacji webowych. W wersji przed 0.1.1, Pulpy wstrzykiwał API JavaScript pulpy.fs do każdej zapakowanej aplikacji webowej, co umożliwiało dostęp do systemu plików hosta. Funkcja validateFsPath() miała ograniczać ten dostęp, ale jej lista blokad była niekompletna.
ArcadeDB przed wersją 2.6.4 pozwalał uwierzytelnionym użytkownikom oraz tokenom API na odczyt, zapis i modyfikację schematu w dowolnej bazie danych na tym samym serwerze, co stanowi poważne naruszenie bezpieczeństwa.
Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.
Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.
Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność, aby uruchomić dowolny kod.
WGDashboard, panel do zarządzania VPN WireGuard, przed wersją 4.3.2 zawierał krytyczne podatności, które mogły umożliwić nieautoryzowanym osobom dostęp do systemu plików hosta bez uwierzytelnienia.
W Fortinet FortiAuthenticator w wersjach 8.0.2, 8.0.0, 6.6.0 do 6.6.8 oraz 6.5.0 do 6.5.6 występuje podatność związana z niewłaściwą kontrolą dostępu. Może ona umożliwić atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pomocą spreparowanych żądań.
W Pingvin Share X w wersjach od 1.14.1 do 1.16.2 występuje krytyczna podatność na obejście uwierzytelniania, która pozwala atakującemu, posiadającemu ważną nazwę użytkownika i hasło, całkowicie pominąć wymóg uwierzytelnienia dwuskładnikowego (TOTP). Podatność ta została naprawiona w wersji 1.16.3.
CVE-2026-44183 dotyczy narzędzia Cleanuparr, które automatyzuje usuwanie niechcianych plików w Sonarr, Radarr i obsługiwanych klientach pobierania. W wersjach przed 2.9.10, atakujący mógł wykorzystać nagłówek X-Forwarded-For do podszywania się pod adres IP klienta, co pozwalało na nieautoryzowany dostęp do konta administratora.
Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) pozwala autoryzowanemu atakującemu na wykonanie kodu w sieci.
Nieprawidłowa kontrola generowania kodu ('iniekcja kodu') w Microsoft Dynamics 365 (wersja lokalna) umożliwia autoryzowanemu atakującemu wykonanie kodu w sieci.

