Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Caddy przed wersją 2.11.4 na Windows nieprawidłowo obsługuje separatory ścieżek w matcherach ścieżek, co pozwala ominąć ochronę dostępu do katalogów. Niezautoryzowany atakujący zdalnie może uzyskać dostęp do chronionych zasobów.
W Deno przed wersją 2.8.1 funkcje `node:crypto.checkPrime` i `crypto.checkPrimeSync` nie wykonywały żadnych rund testu Millera-Rabina, gdy parametr `options.checks` pozostawał na domyślnej wartości 0. W takim przypadku jedynym testem była próbna dzielenie przez liczby pierwsze do 17 863, co powodowało, że liczby złożone, których najmniejszy czynnik pierwszy przekraczał tę granicę, były błędnie uznawane za prawdopodobnie pierwsze.
W Deno przed wersją 2.7.10 funkcja escapeShellArg() w implementacji node:child_process nieprawidłowo obsługiwała znaki specjalne cmd.exe w systemie Windows. Atakujący kontrolujący część argumentu przekazanego do spawn() lub exec() z opcją shell:true mógł wstrzyknąć dodatkowe polecenia.
W systemie Deno przed wersją 2.7.14 mechanizm uprawnień porównywał ścieżki plików na poziomie bajtów, podczas gdy system plików APFS w macOS traktuje różne zapisy Unicode tej samej nazwy jako ten sam plik. Umożliwia to programowi ominięcie reguł blokowania dostępu do ścieżek poprzez użycie alternatywnej pisowni znaków Unicode.
Caddy w wersjach od 2.7.0 do 2.11.3 zawiera podatność w mechanizmie FastCGI, która pozwala atakującemu na błędne rozpoznanie pliku niebędącego skryptem PHP jako skryptu. Problem wynika z nieprawidłowego użycia funkcji wyszukiwania ignorującej wielkość liter w przypadku ścieżek zawierających znaki spoza ASCII. W środowiskach, gdzie atakujący może umieścić plik w lokalizacji obsługiwanej przez FastCGI (np. uploady, magazyny plików), podatność może prowadzić do zdalnego wykonania kodu.
W Deno od wersji 2.0.0 do 2.7.8 wykryto podatność w warstwie kompatybilności z Node.js tls. Gdy włączona jest opcja autoSelectFamily i pierwsza próba połączenia dla rodziny adresów nie powiedzie się, ponowne połączenie może nie zostać zabezpieczone TLS, co skutkuje przesyłaniem danych aplikacji w postaci jawnego tekstu.
Problem w komponencie sqlo_untry openlink virtuoso-opensource v7.2.11 umożliwia atakującym wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.
Problem w komponencie sqlo_try_in_loop w openlink virtuoso-opensource v7.2.11 umożliwia atakującym wywołanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.
Podatność w programie Acrobat Reader umożliwia zapis poza dozwolonym obszarem pamięci, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Aby wykorzystać podatność, ofiara musi otworzyć złośliwy plik.
Podatność w Bootimus do wersji 0.1.70 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach wykonywanie działań administracyjnych z powodu braku sprawdzania flagi is_admin w funkcji JWTMiddleware w pliku internal/auth/auth.go. Atakujący mogą tworzyć nowe konta administratora lub resetować hasła administratorów, uzyskując pełną kontrolę nad serwerem i możliwość modyfikacji menu startowych oraz skryptów instalacyjnych dostarczanych klientom PXE.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. Przed wersją 1.0.19, atakujący mógł wysłać żądanie /api/v1/files/upload/ bez tokena uwierzytelniającego lub ciasteczek, co prowadziło do zablokowania aplikacji langflow dla wszystkich użytkowników na czas nieokreślony.
W Langflow przed wersją 1.9.1 wykryto podatność IDOR w punkcie końcowym /api/v1/responses. Uwierzytelniony atakujący może uruchomić dowolny przepływ należący do innego użytkownika, podając jego identyfikator w żądaniu.
W n8n przed wersjami 2.25.7 i 2.26.2 węzły MicrosoftAgent365Trigger oraz StripeTrigger nie walidowały przychodzących żądań. Nieuwierzytelniony atakujący, znając URL webhooka, mógł wysłać sfałszowany ładunek i spowodować wykonanie przepływu pracy z kontrolowanymi przez siebie danymi.
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.1 uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy oraz dostępem do poświadczenia SecurityScorecard z ograniczonymi dozwolonymi domenami mógł skonfigurować operację pobierania raportu węzła SecurityScorecard tak, aby kierowała żądanie na adres URL kontrolowany przez atakującego. Węzeł dołączał token API SecurityScorecard do wychodzącego żądania, co powodowało wysłanie poświadczenia do hosta atakującego z pominięciem skonfigurowanych ograniczeń poświadczenia i jego wyciek.
Podatność w yt-dlp przed wersją 2026.06.09 umożliwia atakującemu zapis dowolnego pliku poprzez przekazanie niesanityzowanych danych wejściowych do zewnętrznego narzędzia aria2c podczas pobierania strumieni HLS/DASH. Na systemach Windows prowadzi to do natychmiastowego wykonania dowolnego kodu, a na innych platformach do wykonania kodu przy następnym uruchomieniu yt-dlp.
W yt-dlp przed wersją 2026.06.09 odkryto podatność umożliwiającą zdalnemu atakującemu zapisanie złośliwych plików skrótów systemowych (takich jak .desktop, .url, .webloc) w systemie plików użytkownika. Problem wynika z nieprawidłowej listy dozwolonych rozszerzeń, która obejmuje niebezpieczne typy plików, co pozwala na ominięcie zabezpieczeń wprowadzonych dla CVE-2024-38519. Luka została naprawiona w wersji 2026.06.09.
W n8n przed wersjami 1.123.48, 2.21.8 i 2.22.4 uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy mógł podać lokalną ścieżkę systemu plików jako repozytorium źródłowe w operacji Klonowania węzła Git lub jako repozytorium docelowe w operacji Push, omijając piaskownicę plików N8N_RESTRICT_FILE_ACCESS_TO. Umożliwiało to sklonowanie zawartości dowolnego lokalnego repozytorium Git dostępnego dla procesu n8n do dozwolonej ścieżki i odczytanie jej, z pominięciem ograniczeń dostępu, które prawidłowo blokowały bezpośrednie odczyty plików z tych samych ścieżek.
W n8n, platformie automatyzacji przepływów pracy typu open source, przed wersjami 1.123.48, 2.21.8 i 2.22.4, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających węzeł kodu Python mógł opuścić sandbox i uzyskać zdalne wykonanie kodu na kontenerze wykonawczym zadań.
W n8n przed wersjami 1.123.43, 2.22.1 i 2.20.7, punkty końcowe do ponownego łączenia OAuth1 i OAuth2 autoryzowały dostęp przy użyciu uprawnienia credential:read zamiast credential:update. Uwierzytelniony użytkownik z dostępem tylko do odczytu do współdzielonego poświadczenia mógł zainicjować przepływ ponownego łączenia OAuth i nadpisać przechowywany materiał tokenu dla tego poświadczenia tokenami powiązanymi z zewnętrznym kontem, które kontroluje.
W Revive Adserver w wersji 6.0.6 i wcześniejszych występuje brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy. Użytkownik o niskich uprawnieniach może dodać nieoczekiwany parametr komponentu i wstrzyknąć złośliwy kod PHP do pola compiledlimitations, który zostanie wykonany podczas dostarczania banera.

