Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wtyczka URL Preview dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do i włącznie z 1.0 poprzez parametr 'url'. Umożliwia to nieautoryzowanym atakującym wykonywanie żądań sieciowych do dowolnych lokalizacji z aplikacji webowej.
Wtyczka Kargo Takip dla WordPressa jest podatna na atak typu Server-Side Request Forgery we wszystkich wersjach do i włącznie z 1.2, poprzez parametr 'api_url'. Umożliwia to nieautoryzowanym atakującym wykonywanie żądań sieciowych do dowolnych lokalizacji z poziomu aplikacji webowej.
Wtyczka Post Duplicator dla WordPressa przed wersją 3.0.15 nieprawidłowo obsługuje niestandardowe metadane podczas duplikacji postów, co pozwala na przechowywanie wartości dostarczonych przez atakującego bez ochrony podwójnej serializacji API metadanych WordPressa.
Wtyczki WordPress, takie jak Shapedsmart-post-show-pro, Real Testimonials Pro oraz Product Slider for WooCommerce, przed określonymi wersjami zawierały złośliwy kod. Zostały one dystrybuowane przez skompromitowany serwer aktualizacji dostawcy, co umożliwiło atakującym bez uwierzytelnienia wdrożenie drugiego etapu ataku.
Wtyczka Cincopa do WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode cincopa w komentarzach postów w wersjach do 1.163 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Email JavaScript Cloak dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez shortcode 'email' we wszystkich wersjach do 1.03 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Wtyczka ARForms dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr `value` w akcji AJAX `arf_save_incomplete_form_data` w wersjach do 7.1.3 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
W podatności w Google go-attestation, funkcja parseEfiSignatureList() nieprawidłowo waliduje indeksy, co pozwala na dodanie kontrolowanych przez atakującego bajtów nagłówka dostawcy do zaufanej listy hashy SHA256. Może to prowadzić do akceptacji skompromitowanego stanu rozruchu przez weryfikator zdalnej attestation.
Style Dictionary, system budowania do tworzenia stylów międzyplatformowych, ma podatność na zanieczyszczenie prototypu od wersji 4.3.0 do 5.4.4. Użytkownicy są narażeni na ryzyko w przypadku bezpośredniego lub pośredniego użycia API, szczególnie w aplikacjach serwerowych NodeJS.
Podatność w Anthropic Claude Desktop (wersje od v1.1348.0 do v1.2278.0) polega na braku weryfikacji integralności obrazu systemu plików maszyny wirtualnej Cowork. Lokalny atakujący z nieuprzywilejowanym dostępem do konta macOS może zmodyfikować obraz rootfs.img, który zostanie załadowany przy kolejnym uruchomieniu VM, co umożliwia trwałe wykonanie dowolnego kodu w maszynie wirtualnej i dostęp do zamontowanych katalogów hosta.
Błędna weryfikacja wartości zwracanej funkcji w oprogramowaniu Caliptra Core Runtime Firmware umożliwia obejście weryfikacji oprogramowania MCU podczas aktualizacji bez przestojów.
FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.
Podatność w module 'tarfile' języka Python występuje podczas otwierania archiwum w trybie strumieniowym (mode='r|'). Moduł nieprawidłowo obsługuje koniec pliku (EOF), co powoduje wykładnicze wydłużenie czasu parsowania archiwum.
Podatność w jackson-databind pozwala na ominięcie listy dozwolonych typów (allowlist) poprzez tablice. Metoda allowIfSubTypeIsArray() w BasicPolymorphicTypeValidator zezwala na dowolny typ tablicowy bez weryfikacji typu elementu, co umożliwia deserializację niebezpiecznych obiektów.
Podatność w jackson-databind pozwala na ominięcie mechanizmu PolymorphicTypeValidator (PTV) podczas deserializacji polimorficznej. Gdy typ zawiera parametry generyczne (np. ArrayList<Gadget>), walidacja sprawdza tylko nazwę kontenera, a nie typów zagnieżdżonych, co umożliwia załadowanie niebezpiecznej klasy jako parametru generycznego.
Podatność w jackson-databind od wersji 2.13.0 do 2.14.0 umożliwia atak DoS poprzez wysłanie głęboko zagnieżdżonego JSON-a (tysiące poziomów) odczytywanego jako JsonNode i zapisywanego za pomocą toString(). Nawet niewielkie żądania (1000 zagnieżdżonych tablic to 2kB) mogą znacząco obciążyć zasoby systemowe.
NocoDB przed wersją 2026.05.1 ma podatność, która pozwala użytkownikom z rolą edytora na wstrzyknięcie złośliwego kodu JavaScript poprzez pole redirect_url formularza. Po otwarciu linku udostępnionego przez uwierzytelnionego użytkownika, kod ten może zostać wykonany w kontekście NocoDB.
NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym komentatorom na przechowywanie HTML w komentarzach wierszy, co skutkowało wykonaniem skryptu podczas najeżdżania kursorem na komentarz w widoku rozszerzonym. Brak sanitizacji po stronie serwera umożliwiał wstrzykiwanie złośliwego kodu.
Spring Statemachine posiada podatność w backendach opartych na Kryo, które deserializują konteksty maszyn stanowych bez egzekwowania listy dozwolonych klas. Może to prowadzić do zdalnego wykonania kodu w JVM aplikacji.
W FOSSBilling w wersjach 0.7.2 i wcześniejszych, w punktach końcowych listy klientów, błąd w konstrukcji zapytań umożliwiał uwierzytelnionym klientom ominięcie ograniczeń dzierżawy i pobranie danych innych klientów. Problem wynikał z nieprawidłowego grupowania filtrów w zapytaniach, co pozwalało na niezależne wykonanie klauzul OR od wymuszonego ograniczenia client_id.

