Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
WebP Server Go w wersji 0.14.4 zawiera podatność na przejście ścieżki w systemie Windows, która pozwala nieautoryzowanym atakującym na odczyt plików poza skonfigurowanym katalogiem IMG_PATH. Atakujący mogą wykorzystać kodowanie procentowe backslashy (%5C), aby obejść sanitizację w handler/router.go.
Astro to framework webowy, który przed wersją 6.3.3 miał lukę, w której komponenty używające dyrektywy client:* wstawiały zawartość slotu do atrybutu data-astro-template bez odpowiedniego zabezpieczenia, co umożliwiało atakującemu wstrzyknięcie dowolnego HTML i prowadziło do odzwierciedlonego XSS podczas SSR.
W logice przetwarzania opcji DHCP w wielu modelach routerów TP-Link wykryto podatność na wstrzykiwanie poleceń, spowodowaną niewystarczającą walidacją danych opcji DHCP pochodzących z zewnątrz. Sąsiadujący atakujący może wykorzystać tę podatność, dostarczając spreparowane odpowiedzi DHCP, co może prowadzić do nieautoryzowanego wykonania poleceń podczas inicjalizacji urządzenia lub procesów konfiguracji. Zazwyczaj ma to miejsce, gdy urządzenie jest w stanie fabrycznym lub nieskonfigurowanym.
Podatność w bibliotece http-proxy-middleware dla Node.js umożliwia atakującemu ominięcie konfiguracji routingu proxy poprzez spreparowanie nagłówka Host, który jest nadciągiem (superstring) dla skonfigurowanego klucza host+path. Problem występuje w wersjach od 0.16.0 do 2.0.10, 3.0.6 i 4.1.0, a został naprawiony w wersjach 2.0.10, 3.0.6 i 4.1.0.
W bibliotece piscina, przed wersjami 6.0.0-rc.2, 5.2.0 i 4.9.3, występowała podatność związana z odczytem opcji filename, co mogło prowadzić do wykonania złośliwego kodu w wątkach roboczych.
Hono to framework aplikacji webowej, który przed wersją 4.12.25 miał lukę w middleware CORS. Przy ustawieniu 'credentials: true' i braku wyraźnie określonego pochodzenia, middleware odzwierciedlało pochodzenie żądania, co pozwalało na wykonywanie uwierzytelnionych żądań międzydomenowych przez dowolne strony.
Podatność w frameworku Starlette od wersji 0.4.1 do 1.3.1 powoduje, że limity max_fields i max_part_size dla request.form() są stosowane tylko dla multipart/form-data, ale ignorowane dla application/x-www-form-urlencoded. Nieuwierzytelniony atakujący może wysłać ciało żądania z dowolnie dużą liczbą pól lub dowolnie dużym polem, omijając skonfigurowane ograniczenia.
W bibliotece AIOHTTP przed wersją 3.14.1 zasoby ładunku (payload) nie są poprawnie zamykane, gdy klient rozłączy się w trakcie zapisu. Może to prowadzić do tymczasowego wyczerpania zasobów, takich jak otwarte pliki, do momentu ich zwolnienia przez garbage collector.
W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości ominięcia sprawdzenia TLS SNI dla parametru server_hostname podczas ponownego użycia istniejącego połączenia. Jeśli aplikacja wykonuje wiele żądań do tej samej domeny, ale z różnymi wartościami server_hostname, późniejsze wywołania mogą nieprawidłowo wykorzystać wcześniejsze połączenie, zamiast zostać odrzucone.
Podatność w frameworku AIOHTTP przed wersją 3.14.1 umożliwia atakującemu ominięcie limitów pamięci poprzez wysyłanie dużych, niekompletnych ramek WebSocket. Może to prowadzić do nadmiernego zużycia pamięci i potencjalnego wyczerpania zasobów serwera.
W bibliotece AIOHTTP przed wersją 3.14.1 nie było limitu liczby żądań potokowych (pipelined), które mogły być kolejkowane. Atakujący może wykorzystać to do przeciążenia pamięci, co może prowadzić do ataku typu DoS.
W protobufjs-cli, przed wersjami 1.3.2 i 2.5.0, występowała niekompletna poprawka dotycząca niebezpiecznego przetwarzania nazw w generowaniu kodu statycznego. Affected versions mogły emitować niebezpieczne odniesienia JavaScript podczas generowania statycznego wyjścia z przygotowanego wejścia JSON.
Vite to framework narzędziowy dla JavaScript, który przed wersjami 8.0.16, 7.3.5 i 6.4.3 mógł zwracać zawartość plików określonych przez server.fs.deny do przeglądarki na systemie Windows. Problemy z normalizacją ścieżek NTFS ADS pozwalały na nieautoryzowany dostęp do wrażliwych plików.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 powoduje kwadratową złożoność obliczeniową podczas parsowania treści typu application/x-www-form-urlencoded z separatorem średnika. Atakujący może wysłać małe, spreparowane żądanie zawierające wiele pól oddzielonych średnikami, co prowadzi do znacznego obciążenia procesora i potencjalnego wyczerpania zasobów.
W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.
W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w stanie TransferState. Dane te są serializowane do HTML i mogą być przechowywane w pamięci podręcznej CDN lub proxy, prowadząc do wycieku prywatnych danych między użytkownikami.
Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań serwerowych do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co prowadzi do ataku SSRF.

