Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wykryto podatność w AOMEI Partition Assistant do wersji 10.10.1, która dotyczy nieznanego kodu w bibliotece ampa10.sys komponentu Kernel Driver. Manipulacja ta prowadzi do niewłaściwych kontroli dostępu.
Wykryto podatność w Montodel House-Rental-Management, która dotyczy pliku /login.php. Manipulacja argumentem Username prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
W BerriAI litellm do wersji 1.59.8 wykryto słabość w funkcji UserAPIKeyAuth pliku auth/user_api_key_auth_mcp.py komponentu MCP Proxy. Manipulacja może prowadzić do nieprawidłowego uwierzytelnienia, a atak może być przeprowadzony zdalnie.
AVideo w wersji do 29.0 zawiera lukę w autoryzacji w punkcie końcowym uploadRecordedVideo.json.php wtyczki Meet, która pozwala na obejście autoryzacji. Atakujący może wykorzystać złośliwy plik z odpowiednią nazwą, aby uzyskać dostęp do sesji dowolnego użytkownika, w tym administratora.
AVideo w wersji do 26.0 zawiera wiele punktów końcowych list.json.php w wtyczkach płatności, które nie mają kontroli autoryzacji, co prowadzi do ujawnienia tokenów PayPal, webhooków Authorize.Net oraz rekordów transakcji Bitcoin.
Podatność w vLLM w wersjach od 0.10.2 do 0.12.9 (włącznie) wynika z braku walidacji rzadkich tensorów w przetwarzaniu osadzeń multimodalnych. Ponieważ PyTorch domyślnie wyłącza sprawdzanie niezmienników rzadkich tensorów, atakujący może wysłać spreparowane żądania osadzeń z nieprawidłowymi indeksami (ujemnymi lub poza zakresem), gdy funkcja prompt-embeds jest włączona, co prowadzi do awarii, wyczerpania zasobów (odmowa usługi) oraz potencjalnie do uszkodzenia pamięci typu out-of-bounds/write-what-where.
Wtyczka WordPress Time Capsule w wersji 1.21.16 zawiera lukę umożliwiającą ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wysłanie odpowiednio skonstruowanego żądania POST z nagłówkiem IWP_JSON_PREFIX. Atakujący mogą wykorzystać tę lukę do uzyskania ważnych ciasteczek sesyjnych administratora i dostępu do panelu WordPress bez podawania danych uwierzytelniających.
Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowaną modyfikację plików z powodu niewystarczających kontroli autoryzacji w wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie i modyfikowanie plików na serwerze.
Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji eeSFL_DeleteFile we wszystkich wersjach do 6.3.7 włącznie. Umożliwia to nieautoryzowanym atakującym usunięcie dowolnych plików na serwerze.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na usuwanie dowolnych plików z powodu niewystarczającej walidacji ścieżek plików w funkcji view_page we wszystkich wersjach do i włącznie z 1.5.1. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Capgo w wersjach przed 12.128.2 zawiera podatność na eskalację zakresu w punkcie końcowym POST /functions/v1/apikey, która pozwala na generowanie nieograniczonych kluczy API przez klucze z ograniczeniami aplikacji poprzez ustawienie pustych limitów.
Capgo w wersjach przed 12.128.12 pozwala uwierzytelnionym użytkownikom na modyfikację swojego adresu e-mail public.users.email na dowolny adres. Punkt końcowy SSO, który obsługuje przydzielanie użytkowników, ufa temu adresowi jako kluczowi do łączenia kont.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punktach końcowych Supabase PostgREST RPC is_trial_org i is_paying_org, która pozwala nieautoryzowanym atakującym na enumerację organizacji oraz ujawnienie statusu płatności przy użyciu publicznego klucza sb_publishable.
Capgo przed wersją 12.128.2 zawiera podatność na niewłaściwą kontrolę dostępu w funkcji RPC PostgREST public.record_build_time, która jest dostępna dla roli anon i może być wywoływana za pomocą publicznego klucza anon. Atakujący bez uwierzytelnienia może wstawiać wiersze do public.build_logs dla dowolnych organizacji, co pozwala na modyfikację istniejących rekordów użycia/billingu.
W Quarkusie, frameworku Java do budowania aplikacji natywnych w chmurze, stwierdzono podatność na obejście autoryzacji opartej na ścieżkach HTTP. Atakujący może użyć zakodowanych średników (%3B) do przemycenia parametrów macierzowych, a także zakodowanych ukośników (%2F) lub odwrotnych ukośników (%5C) do uzyskania dostępu do chronionych zasobów statycznych.
W bibliotece libde265 przed wersją 1.1.0 odkryto podatność polegającą na przepełnieniu liczby całkowitej ze znakiem w funkcji `de265_image_get_buffer()`. Specjalnie spreparowany strumień H.265 z dużymi wymiarami SPS i 16-bitową głębią kolorów powoduje, że alokacja pamięci dla płaszczyzny obrazu jest zawijana do małej wartości (~1 KB), podczas gdy późniejsze wywołanie `fill_image()` zapisuje do niej około 4 GB danych, co prowadzi do przepełnienia bufora sterty.
Podatność w bibliotece libde265 (implementacja kodeka H.265) przed wersją 1.0.20 umożliwia zapis poza zakresem tablicy podczas przetwarzania spreparowanego strumienia bitów H.265. Brakuje weryfikacji łącznej liczby przewidywanych wpisów zestawu obrazów referencyjnych krótkoterminowych, co może prowadzić do zapisu poza 16-elementową tablicą.
Podatność w Microsoft 365 Copilot Business Chat umożliwia nieautoryzowanemu atakującemu przekierowanie użytkownika na zewnętrzną, niezaufaną stronę (open redirect), co może prowadzić do eskalacji uprawnień w sieci.
Podatność typu Cross-Site Scripting (XSS) w Microsoft Entra ID umożliwia autoryzowanemu atakującemu przeprowadzenie ataku polegającego na fałszowaniu treści w sieci. Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych.
Mercator to aplikacja webowa, która przed wersją 2025.05.19 miała lukę w silniku zapytań, umożliwiającą autoryzowanym użytkownikom, w tym rolom z ograniczonym dostępem, wykonywanie zapytań do modeli poza ich zakresem. Dodatkowo, kolumna `password`, mimo że oznaczona jako `$hidden`, mogła być używana w warunkach `LIKE` w filtrach.

