Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W bibliotece Net::IP::LPM dla Perla w wersjach do 1.10 występuje podatność na odczyt poza dozwolonym obszarem sterty (heap out-of-bounds read) spowodowana brakiem walidacji długości prefiksu w funkcji add(). Atakujący może przekazać nieprawidłową długość prefiksu (np. 255 dla IPv4 lub IPv6), co prowadzi do odczytu danych poza buforem adresu. Problem jest wykrywalny przez narzędzia takie jak AddressSanitizer i może spowodować przerwanie procesu.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami. Problem wynika z nieprawidłowej autoryzacji w systemie.
Podatność w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na wykorzystanie niewłaściwego rozwiązywania dowiązań przed dostępem do pliku, co może prowadzić do ujawnienia informacji.
Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.
W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznego zasobu. Luka ta może zostać wykorzystana przez lokalnego atakującego z wysokimi uprawnieniami, prowadząc do nieautoryzowanego dostępu.
Podatność typu path traversal w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na ominięcie ograniczeń ścieżek i potencjalne ujawnienie informacji.
W systemie Dell PowerProtect Data Domain w wersjach od 7.7.1.0 do 8.6 oraz w wydaniach LTS2026, LTS2025 i LTS2024 wykryto podatność związaną z nieprawidłową kontrolą dostępu w mechanizmie RBAC. Niskouprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do manipulacji informacjami.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
To CVE zostało odrzucone przez Red Hat Product Security jako niepotrzebne. Zgłoszony problem został sklasyfikowany jako zwykły błąd i będzie naprawiany w standardowym procesie usuwania błędów.
Podatność w serwerze Kong Konnect Model Context Protocol (MCP) przed wersją 1.0.0 umożliwia zdalnemu atakującemu przeprowadzenie pośredniego wstrzyknięcia poleceń (prompt injection) i wykonanie niezamierzonych żądań API.
W Eclipse Theia od wersji 1.26.0 backendowy punkt końcowy /services/request-service RPC akceptuje adres URL kontrolowany przez atakującego z dowolnego klienta podłączonego do standardowego punktu końcowego /services. Wykonuje on żądanie HTTP po stronie serwera i zwraca pełną treść odpowiedzi do wywołującego.
W Eclipse Theia w wersjach 1.8.1 i nowszych, backend przeglądarki udostępnia uprzywilejowane zdalne wywołania procedur (RPC) terminala przez WebSocket bez uwierzytelniania na poziomie usługi. Walidacja pochodzenia WebSocket jest zawodna, a atakujący może przejąć kontrolę nad terminalem, wykonując dowolne polecenia systemowe.
Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.
Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.
Podatność SQL Injection w produkcie Destekz firmy Raera - Ankara Web Design and Digital Advertising Agency umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Luka występuje we wszystkich wersjach do 02062026 włącznie. Producent nie wspiera już tego produktu.
Wtyczka GenerateBlocks dla WordPressa jest podatna na trwałe ataki XSS w bloku nagłówka przez atrybut linku dynamicznego 'linkMetaFieldType' w wersjach do 2.2.1 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Motyw Zakra dla WordPressa do wersji 4.2.0 zawiera podatność na trwałe ataki XSS. Brak walidacji danych w rejestracji pól meta (zakra_menu_item_color, zakra_menu_item_hover_color, zakra_menu_item_active_color) przez REST API pozwala atakującym z dostępem na poziomie Współautora i wyższym na wstrzyknięcie złośliwego skryptu, który wykonuje się przy każdej wizycie na zainfekowanej stronie.
Podatność typu Path Traversal w bibliotece Apache Lucene.Net.Replicator umożliwia nieograniczone odczytywanie plików poza dozwolonym katalogiem. Problem dotyczy wersji od 4.8.0-beta00005 do 4.8.0-beta00017.

