Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Parse Server przed wersjami 8.6.79 i 9.9.1-alpha.4 pozwalał na obejście domyślnej listy blokowanych rozszerzeń plików poprzez dodanie kropki na końcu nazwy pliku. To umożliwia atakującym przesyłanie plików z niebezpiecznymi typami MIME, co prowadzi do możliwości wykonania ataków XSS.
Zidentyfikowano podatność w aplikacji Groww Stock, Mutual Fund, Gold na Androida, która dotyczy nieznanej części komponentu WebView URL Handler. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.6 nie tłumił wzmiankowania przy wywoływaniu komendy /warns, co mogło prowadzić do masowego pingowania użytkowników.
Wtyczka Secure Copy Content Protection i Content Locking dla WordPressa przed wersją 5.1.5 nie sanitizuje i nie ucieka niektórych swoich ustawień, co może umożliwić użytkownikom o wysokich uprawnieniach, takim jak administratorzy, przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość unfiltered_html jest zablokowana.
Nieodpowiednia implementacja w systemie haseł w Google Chrome na Androidzie przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.115 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, obejście izolacji witryn za pomocą spreparowanej strony HTML.
OpenClaw w wersjach przed 2026.4.25 zawiera lukę w polityce, która pozwala na obejście zasad wbudowanego runnera. Umożliwia to atakującym porównywanie aliasów dostawców zamiast ich kanonicznych tożsamości, co może prowadzić do nieautoryzowanego dostępu do narzędzi.
Quest Bot to otwartoźródłowy bot Discorda, który przed wersją 1.0.5 nie tłumił wzmiankowania w niektórych komendach moderacyjnych. Komendy /unban i /unwarn nadal wysyłały tekst powodu kontrolowanego przez użytkownika w publicznych wiadomościach bota, co mogło prowadzić do masowego pingowania.
Quest Bot to nowoczesny bot Discord stworzony do moderacji, narzędzi i wsparcia. W wersjach przed 1.0.4, kilka komend moderacyjnych wyświetlało tekst powodów kontrolowanych przez użytkownika w publicznych odpowiedziach bota, nie wyłączając analizy wzmiankowania.
Podatność w Axios, kliencie HTTP, pozwala na wstrzyknięcie złośliwych danych do nagłówka Proxy-Authorization w przypadku, gdy obiekt proxy jest zanieczyszczony. Problem występuje w wersjach od 1.15.2 do przed 1.16.0, gdzie funkcja setProxy() nie sprawdza właściwości obiektów.
W podatności CVE-2026-11956 zidentyfikowano problem w wersji 5.36.0 komponentu TwiN gatus, dotyczący funkcji setSessionCookie w pliku security/oidc.go. Manipulacja tą funkcją może prowadzić do uzyskania wrażliwego ciasteczka bez atrybutu secure.
GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami dewelopera mógł ukryć zmiany w widokach różnic zgłoszeń scalania z powodu niewłaściwego przetwarzania nazw plików.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 12.0 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach mogło to pozwolić uwierzytelnionemu użytkownikowi na dostęp do poufnych szczegółów problemów z powodu błędnych kontroli autoryzacji.
Wss4jSecurityInterceptor nie zawsze poprawnie integrował instancje ReplayCache z Apache WSS4J w RequestData do sprawdzania w czasie walidacji. Może to prowadzić do nieskuteczności zabezpieczeń przed powtórnym użyciem nonces UsernameToken oraz znaczników czasowych.
Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, miała lukę, która pozwalała na generowanie nazw plików łat w oparciu o linię tematu commitów. Wersje od 0.24.0 do przed 1.2.5 nie sanitizowały odpowiednio tych nazw, co mogło prowadzić do zapisania plików poza wskazanym katalogiem.
Shopware to otwarta platforma handlowa. Przed wersjami 6.6.10.18 i 6.7.10.1, atakujący mógł enumerować nazwy użytkowników administratorów za pomocą ataku czasowego.
SpiceDB to system baz danych typu open source, który służy do tworzenia i zarządzania uprawnieniami aplikacji krytycznych dla bezpieczeństwa. W wersjach od 1.15.0 do przed 1.52.0 struktury caveat z zagnieżdżonymi listami mogą prowadzić do niewłaściwego ponownego użycia pamięci podręcznej. Problem został naprawiony w wersji 1.52.0.
W bibliotece bit7z przed wersją 4.0.12 występował błąd off-by-one w funkcji SafeOutPathBuilder::restoreSymlink(), który pozwalał atakującemu na stworzenie archiwum .7z. Po jego rozpakowaniu na platformach innych niż Windows, tworzony był symlink, który mógł wyjść poza zamierzony katalog wyjściowy.
W podatności XSS w oprogramowaniu Palo Alto Networks PAN-OS® złośliwy, uwierzytelniony administrator może przechować ładunek JavaScript za pomocą interfejsu webowego.

