Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w AVideo do wersji 25.0 umożliwia nieuwierzytelnionym atakującym ominięcie mechanizmu uwierzytelniania w endpointcie decryptMessage.json.php. Pozwala to na zdalne odszyfrowywanie wiadomości PGP bez podawania poświadczeń, co naraża klucze prywatne na zapis w logach i umożliwia ataki typu wyczerpanie zasobów.
AVideo w wersji do 27.0 zawiera podatność typu server-side request forgery w pliku plugin/Live/test.php, która pozwala uwierzytelnionym administratorom na odczyt dowolnych adresów URL za pomocą parametru statsURL. Brak walidacji isSSRFSafeURL() umożliwia wysyłanie żądań do prywatnych zakresów IP oraz punktów końcowych metadanych w chmurze.
Podatność ReDoS w vLLM w wersjach od 0.6.3 do 0.9.0. Wzorce wyrażeń regularnych w kilku komponentach (vllm/lora/utils.py, parser phi4mini, endpoint czatu OpenAI) są podatne na katastrofalne cofanie, co pozwala atakującemu na przeciążenie CPU i degradację wydajności.
Capgo w wersjach przed 12.128.2 zawiera podatność na otwarte przekierowanie w punkcie końcowym confirm-signup, co pozwala atakującym na przekierowywanie użytkowników do dowolnych zewnętrznych stron internetowych. Parametr confirmation_url nie jest walidowany, co umożliwia tworzenie złośliwych linków do ataków phishingowych i zbierania danych uwierzytelniających.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w punkcie końcowym GET /statistics/app/:app_id, która pozwala na rozróżnienie istniejących identyfikatorów aplikacji przez klucze API o ograniczonym dostępie. Atakujący mogą enumerować rzeczywiste identyfikatory aplikacji, obserwując różnice w odpowiedziach błędów.
Nuxt przed wersją 4.4.7 (oraz gałąź 3.x przed 3.21.7) zawiera podatność na ataki typu cross-site scripting w komponencie NoScript, który zapisuje zawartość slotów do innerHTML bez odpowiedniego zabezpieczenia. Atakujący mogą wstrzykiwać złośliwe skrypty poprzez niezaufane dane w slotach NoScript, takie jak parametry route.query.
Cap-go przed wersją 12.128.12 zawiera podatność na uszkodzoną paginację kursorów w punkcie końcowym /private/devices, co pozwala uwierzytelnionym atakującym na wywołanie pętli zduplikowanych stron i uniemożliwienie dostępu do późniejszych wierszy.
Picklescan przed wersją 1.0.1 zawiera podatność na niebezpieczną deserializację pickle, która pozwala nieautoryzowanym atakującym na tworzenie dowolnych plików o zerowej wielkości poprzez instancjonowanie klasy logging.FileHandler. Atakujący mogą wykorzystać tę lukę, tworząc złośliwe ładunki pickle, aby obejść blokady RCE i tworzyć pliki blokad lub inne artefakty systemu plików.
Capgo w wersjach przed 12.128.2 zawiera lukę w autoryzacji w punktach końcowych zarządzania webhookami, która pozwala na ominięcie polityki wymogu wygasania kluczy API. Funkcja checkWebhookPermission nie wywołuje apikeyHasOrgRightWithPolicy, co umożliwia atakującym z przestarzałymi kluczami nie wygasającymi na listowanie, tworzenie i usuwanie webhooków.
Wersje capacitor-native-biometric przed 12.128.2 zawierają podatność na obejście uwierzytelnienia, w której metoda onAuthenticationSucceeded() nie weryfikuje parametrów CryptoObject. Atakujący mogą wykorzystać dynamiczną instrumentację, aby obejść uwierzytelnienie biometryczne bez ważnych poświadczeń.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /replication, który ujawnia wewnętrzną telemetrię replikacji PostgreSQL, w tym nazwy slotów i pozycje WAL LSN. Atakujący mogą uzyskać dostęp do tego punktu końcowego bez uwierzytelnienia, aby pozyskać wrażliwe szczegóły infrastruktury.
Flowise w wersjach przed 3.1.2 zawiera podatność na masowe przypisanie w punkcie końcowym PUT /api/v1/user, co pozwala uwierzytelnionym użytkownikom na bezpośrednią modyfikację pola poświadczeń bez walidacji. Atakujący mogą obejść weryfikację zmiany hasła oraz unieważnienie sesji, dostarczając spreparowany skrót hasła, co umożliwia trwały dostęp do konta po tymczasowym naruszeniu sesji.
Flowise w wersjach przed 3.0.13 zawiera podatność na ujawnienie informacji w punkcie końcowym POST /api/v1/account/forgot-password, który zwraca pełne obiekty użytkowników, w tym dane osobowe, nieautoryzowanym atakującym. Atakujący może enumerować ważne adresy e-mail i zbierać wrażliwe dane użytkowników, wysyłając żądania z znanymi adresami e-mail.
Cap-go w wersjach przed 12.128.2 zawiera lukę w autoryzacji w kilku funkcjach RPC Supabase PostgREST, które są dostępne dla roli anon bez wymuszania członkostwa w organizacji lub sprawdzania uprawnień. Atakujący może wykorzystać publiczny klucz API Supabase do zapytań o wartości org_id, co pozwala na ujawnienie telemetrii użycia między najemcami.
Capgo przed wersją 12.128.2 nie egzekwuje maksymalnej wartości dla minimalnej długości hasła w konfiguracji polityki haseł. Administratorzy organizacji mogą ustawić ekstremalnie dużą wartość jako minimalną długość hasła, co uniemożliwia spełnienie wymagań dla wszystkich członków organizacji.
Capgo w wersjach przed 12.128.2 zawiera podatność typu server-side request forgery w walidacji URL webhooków, co pozwala na wykorzystanie adresów loopback i wewnętrznych. Administratorzy organizacji mogą konfigurować webhooki wskazujące na localhost lub 127.0.0.1, co prowadzi do wykonywania żądań wychodzących do tych adresów.
Capgo w wersjach przed 12.128.2 nie usuwa metadanych EXIF, w tym danych geolokalizacyjnych GPS z przesyłanych obrazów, co prowadzi do ujawnienia informacji. Atakujący mogą pobrać przesłane obrazy i wydobyć dokładne współrzędne geograficzne, ujawniając fizyczną lokalizację użytkownika w momencie wykonania zdjęcia.
Flowise w wersjach przed 3.0.8 zawiera podatność typu cross-site scripting (XSS) spowodowaną niewystarczającym filtrowaniem danych wejściowych w wiadomościach czatu oraz funkcjach agentów niestandardowych. Atakujący może wstrzyknąć złośliwy kod JavaScript, co prowadzi do kradzieży ciasteczek i danych sesji.
Wersje Liquidfiles przed 4.2.12 są podatne na lukę w kontroli dostępu, która umożliwia eskalację uprawnień z poziomu Administratora w drugorzędnej domenie do poziomu Sysadmina poprzez modyfikację grupy w ich zarządzanej drugorzędnej grupie.
Wtyczka Simple File List dla WordPressa jest podatna na nieautoryzowane operacje plikowe z powodu braku sprawdzenia autoryzacji w atrybucie shortcode 'frontmanage' we wszystkich wersjach do 6.3.7 włącznie. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współtwórcy i wyżej, wykonywanie dowolnych operacji na plikach.

