Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.
Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.
Podatność w Dell PowerProtect Data Domain polega na użyciu niezainicjowanego zasobu. Niskouprzywilejowany atakujący z lokalnym dostępem może wykorzystać ten błąd, prowadząc do ujawnienia informacji.
W bibliotece Net::IP::LPM dla Perla w wersjach do 1.10 występuje podatność na odczyt poza dozwolonym obszarem sterty (heap out-of-bounds read) spowodowana brakiem walidacji długości prefiksu w funkcji add(). Atakujący może przekazać nieprawidłową długość prefiksu (np. 255 dla IPv4 lub IPv6), co prowadzi do odczytu danych poza buforem adresu. Problem jest wykrywalny przez narzędzia takie jak AddressSanitizer i może spowodować przerwanie procesu.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami. Problem wynika z nieprawidłowej autoryzacji w systemie.
Podatność w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na wykorzystanie niewłaściwego rozwiązywania dowiązań przed dostępem do pliku, co może prowadzić do ujawnienia informacji.
Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.
W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznego zasobu. Luka ta może zostać wykorzystana przez lokalnego atakującego z wysokimi uprawnieniami, prowadząc do nieautoryzowanego dostępu.
Podatność typu path traversal w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na ominięcie ograniczeń ścieżek i potencjalne ujawnienie informacji.
W systemie Dell PowerProtect Data Domain w wersjach od 7.7.1.0 do 8.6 oraz w wydaniach LTS2026, LTS2025 i LTS2024 wykryto podatność związaną z nieprawidłową kontrolą dostępu w mechanizmie RBAC. Niskouprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do manipulacji informacjami.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem zdalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
To CVE zostało odrzucone przez Red Hat Product Security jako niepotrzebne. Zgłoszony problem został sklasyfikowany jako zwykły błąd i będzie naprawiany w standardowym procesie usuwania błędów.
Podatność w serwerze Kong Konnect Model Context Protocol (MCP) przed wersją 1.0.0 umożliwia zdalnemu atakującemu przeprowadzenie pośredniego wstrzyknięcia poleceń (prompt injection) i wykonanie niezamierzonych żądań API.
W Eclipse Theia od wersji 1.26.0 backendowy punkt końcowy /services/request-service RPC akceptuje adres URL kontrolowany przez atakującego z dowolnego klienta podłączonego do standardowego punktu końcowego /services. Wykonuje on żądanie HTTP po stronie serwera i zwraca pełną treść odpowiedzi do wywołującego.
W Eclipse Theia w wersjach 1.8.1 i nowszych, backend przeglądarki udostępnia uprzywilejowane zdalne wywołania procedur (RPC) terminala przez WebSocket bez uwierzytelniania na poziomie usługi. Walidacja pochodzenia WebSocket jest zawodna, a atakujący może przejąć kontrolę nad terminalem, wykonując dowolne polecenia systemowe.
Wtyczka RTMKit (rometheme-for-elementor) dla WordPressa w wersjach do 2.0.7 zawiera podatność na lokalne dołączanie plików (LFI). Problem wynika z niewystarczającej walidacji ścieżki w parametrze 'template' w punkcie końcowym AJAX render_templates, który jest używany bezpośrednio w instrukcji require/include bez sanityzacji.
Wtyczka Destekz od Raera - Ankara Web Design and Digital Advertising Agency zawiera podatność na odbity atak XSS spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony. Problem dotyczy wersji do 02062026, a produkt nie jest już wspierany przez producenta.
Podatność SQL Injection w produkcie Destekz firmy Raera - Ankara Web Design and Digital Advertising Agency umożliwia atakującemu wstrzyknięcie złośliwego kodu SQL. Luka występuje we wszystkich wersjach do 02062026 włącznie. Producent nie wspiera już tego produktu.

