Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
MISP umożliwia administratorowi serwisu skonfigurowanie dowolnej ścieżki systemu plików dla logu błędów NDJSON używanego przez JsonLogTool. Z powodu możliwości wstrzyknięcia kodu PHP przez atakującego, który ma uprawnienia administratora, może dojść do zdalnego wykonania kodu.
Implementacja uwierzytelniania Azure Active Directory (AAD) zawierała wiele słabości w przepływie autoryzacji OAuth 2.0, umożliwiających atakującym ominięcie ważnych zabezpieczeń protokołu. Podatność dotyczy m.in. wycieku identyfikatora sesji, braku rotacji sesji po zalogowaniu, słabego stanu OAuth, braku wymogu HTTPS oraz podatności na wstrzykiwanie do logów.
Rdzeń MISP zawiera wiele błędów w kontroli dostępu, które pozwalają na nieautoryzowane modyfikacje i usunięcia danych między organizacjami. Użytkownicy z niższymi uprawnieniami mogą manipulować obiektami, do których nie mają prawa edytować.
MISP Core zawierał błędne kontrole dostępu w procesach masowego usuwania raportów zdarzeń i grup udostępniania. Użytkownicy z szerokimi uprawnieniami mogli usuwać obiekty należące do innych organizacji bez odpowiedniej autoryzacji.
Operator Windows Machine Config (WMCO) dla Red Hat OpenShift nawiązuje połączenia SSH z węzłami Windows bez weryfikacji klucza hosta zdalnego serwera. Atakujący w sąsiedniej sieci może przechwycić lub przekierować sesję SSH i zdobyć dane uwierzytelniające WICD oraz kubelet.
W operatorze Windows Machine Config Operator (WMCO) dla Red Hat OpenShift Container Platform wykryto lukę w mechanizmie automatycznego zatwierdzania żądań podpisania certyfikatu (CSR). Mechanizm ten sprawdza, czy CSR zawiera organizację system:wicd-nodes, ale nie odrzuca dodatkowych wartości organizacji, takich jak system:masters. Pozwala to skompromitowanemu węzłowi Windows z danymi uwierzytelniającymi WICD na uzyskanie certyfikatu klienta z uprawnieniami administratora klastra.
Podatność w wtyczce źródła danych Loki umożliwia użytkownikowi z uprawnieniami przeglądania (Viewer) wykorzystanie przejścia ścieżki (path traversal) do uzyskania dostępu do administracyjnych punktów końcowych Loki. Pozwala to na odczyt wrażliwej konfiguracji backendu oraz wewnętrznych informacji o usługach.
W ArubaSign, w wersjach przed v4.6.6, występują nieprawidłowe domyślne uprawnienia, które przyznają nadmierne uprawnienia grupie 'Everyone' dla głównego pliku wykonywalnego oraz innych plików programu. To może umożliwić nieuprzywilejowanemu użytkownikowi zastąpienie głównego pliku wykonywalnego złośliwym plikiem.
Podatność w GitHub Copilot 1.372.0 umożliwia dostęp do systemu plików poza folderem roboczym bez zgody użytkownika poprzez parametr URI w funkcji fetch_webpage. Może to prowadzić do wycieku danych w przypadku pośredniego wstrzyknięcia promptu.
EasyFlow .NET opracowany przez Digiwin ma podatność na atak typu Session Fixation. Nieautoryzowani zdalni atakujący mogą zastąpić określony identyfikator sesji użytkownika, co pozwala im uzyskać uprawnienia użytkownika po jego zalogowaniu.
Urządzenia SafeLine SL6 i SL6+ wbudowane w systemy interkomów awaryjnych wind są podatne na obejście uwierzytelniania. Luka umożliwia atakującym ominięcie wymogów uwierzytelniania i dostęp do usługi konfiguracyjnej urządzenia przez interfejs Bluetooth Low Energy (BLE).
W komponentach Runtime Pilz PASvisu przed wersją 1.14.1 oraz PMI v8xx do wersji 2.0.33992 występuje podatność na przechowywane ataki typu cross-site scripting. Umożliwia to atakującemu o niskich uprawnieniach zdalne manipulowanie danymi procesowymi, co może wpłynąć na integralność i/lub dostępność systemu.
W komponentach Builder systemu Pilz PASvisu przed wersją 1.14.1 występuje podatność na atak typu cross-site scripting, która pozwala lokalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie złośliwego kodu JavaScript i uzyskanie pełnej kontroli nad urządzeniem.
Apache NiFi w wersjach od 1.12.0 do 2.9.0 nie sprawdza autoryzacji przy wymianie grup procesów, które zawierają komponenty z oznaczeniem Restricted. Brak tej autoryzacji pozwala użytkownikom z ogólnym dostępem do zapisu na dodawanie komponentów z ograniczonym dostępem.
Nieprawidłowe ucieczki nazw tabel w bazie danych w procesorze CaptureChangeMySQL w Apache NiFi w wersjach od 1.2.0 do 2.9.0 umożliwiają wstrzykiwanie poleceń SQL przy użyciu spreparowanych nazw. Wersja 1.8.0 wprowadziła ręczne granice cytatów, które ograniczyły możliwości wstrzykiwania, ale nie objęły dodatkowych strategii.
Serwer Apache Doris MCP zawiera podatność na wstrzykiwanie SQL w ścieżce zapytań metadanych. Nazwa bazy danych kontrolowana przez użytkownika jest bezpośrednio interpolowana do zapytania SQL, a zapytanie jest wykonywane bez kontekstu autoryzacji wywołującego. Może to pozwolić uwierzytelnionemu atakującemu lub anonimowemu atakującemu (jeśli uwierzytelnianie jest wyłączone) na ominięcie walidacji bezpieczeństwa SQL i dostęp do metadanych poza zakresem docelowej bazy danych.
Wtyczka Vitepos dla WordPressa w wersjach przed 3.4.2 nie ogranicza poprawnie ról, które mogą być przypisywane podczas tworzenia nowych użytkowników za pomocą jednego z punktów końcowych REST API. Umożliwia to uwierzytelnionym użytkownikom z niestandardową rolą wtyczki Vitepos podniesienie uprawnień do administratora.
Wtyczka Transbank Webpay dla WordPressa w wersjach przed 1.14.0 nie sanitizuje i nie ucieka logów do wyświetlenia, co pozwala nieautoryzowanym użytkownikom na przeprowadzenie ataków typu Stored XSS przeciwko zalogowanym administratorom.
Wtyczka ultimate-woocommerce-auction-pro dla WordPressa w wersji do 2.4.5 nie sanitizuje i nie ucieka parametru przed jego wyświetleniem na stronie, co prowadzi do podatności na odzwierciedlone ataki Cross-Site Scripting (XSS). Atak ten może być wykorzystany przeciwko użytkownikom o wysokich uprawnieniach, takim jak administratorzy.
W komponentach PaperCut Print Deploy Client dla systemu Windows występuje podatność na niebezpieczne wykonywanie procesów. Aplikacja, działająca z wysokimi uprawnieniami systemowymi, nieprawidłowo wykonuje wewnętrzną kontrolę walidacyjną, wywołując zewnętrzny program bez określonej ścieżki.

