Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunEnable w /cgi-bin/cstecgi.cgi.
W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.
Serwer hackage nie posiadał ochrony przed atakami Cross-Site Request Forgery (CSRF) na swoich punktach końcowych. Skrypty na obcych stronach mogły wywoływać żądania do serwera hackage, co mogło prowadzić do nadużycia ukrytych poświadczeń w celu przesyłania pakietów lub wykonywania innych działań administracyjnych.
Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub za pośrednictwem funkcji przesyłania dokumentacji były serwowane bezpośrednio na głównym domenie hackage.haskell.org.
Kofax Capture (Tungsten Capture) w wersji 6.0.0.0 (inne wersje mogą być podatne) udostępnia przestarzały kanał .NET Remoting HTTP na porcie 2424, który jest dostępny bez uwierzytelnienia. Atakujący może wykorzystać techniki unmarshalling obiektów .NET Remoting do instancjonowania obiektu System.Net.WebClient i uzyskania dostępu do plików na serwerze.
Pipecat to otwartoźródłowy framework Pythona do budowania agentów konwersacyjnych w czasie rzeczywistym. W wersjach od 0.0.41 do 0.0.93 występuje podatność w klasie `LivekitFrameSerializer`, która umożliwia zdalne wykonanie kodu przez nieautoryzowane dane WebSocket.
Jizhicms w wersji 2.5.4 jest podatny na atak typu SQL injection w module edycji produktów. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.
Podatność typu 'Code Injection' w FunnelFormsPro firmy Funnelforms LLC pozwala na zdalne wstrzykiwanie kodu. Problem dotyczy wersji FunnelFormsPro od n/a do 3.8.1.
Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na wstrzykiwanie SQL, która umożliwia nieautoryzowanym atakującym zdalne wstrzykiwanie dowolnych poleceń SQL w celu odczytu, modyfikacji i usunięcia zawartości bazy danych.
Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym atakującym zdalnym na zalogowanie się do systemu jako dowolny użytkownik.
Borg SPM 2007, rozwijany przez BorG Technology Corporation, posiada podatność na nieautoryzowane przesyłanie plików, co pozwala zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów na serwerze.
W H2O-3 w wersji 3.46.0.9 i wcześniejszych występuje krytyczna podatność na zdalne wykonanie kodu w nieautoryzowanym punkcie końcowym REST API /99/ImportSQLTable. Podatność wynika z niewystarczających zabezpieczeń w mechanizmie czarnej listy parametrów, co pozwala atakującym na ominięcie tych zabezpieczeń.
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, funkcja `PhpHelper::parseArrayToString()` zapisuje wartości tekstowe w pojedynczych cudzysłowach PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem. To umożliwia atakującemu wstrzyknięcie dowolnego kodu PHP, który będzie wykonywany jako użytkownik serwera WWW.
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, punkt końcowy API `Customers.update` (oraz `Admins.update`) nie weryfikuje parametru `def_language` względem dostępnych plików językowych, co pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie ładunku do przejścia ścieżki.
Wtyczka Breeze Cache dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'fetch_gravatar_from_remote' we wszystkich wersjach do 2.4.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Paperclip to serwer Node.js i interfejs React, który koordynuje zespół agentów AI do prowadzenia działalności. Przed wersją 2026.416.0, nieautoryzowany atakujący mógł uzyskać pełne zdalne wykonanie kodu na każdej instancji Paperclip działającej w trybie `authenticated` z domyślną konfiguracją.
Vite+ to zintegrowany zestaw narzędzi do tworzenia aplikacji webowych. W wersjach przed 0.1.17 funkcja `downloadPackageManager()` akceptuje nieufny ciąg `version`, co pozwala na manipulację ścieżkami w systemie plików, umożliwiając atakującemu usunięcie lub zastąpienie katalogów poza zamierzonym miejscem w pamięci podręcznej.
W Luanti (wcześniej Minetest) występuje podatność, która pozwala złośliwym modom na ucieczkę z piaskownicy środowiska Lua i wykonanie dowolnego kodu, uzyskując pełny dostęp do systemu plików użytkownika. Dotyczy to zarówno modów po stronie serwera, jak i środowisk po stronie klienta.
W Rclone od wersji 1.48.0 do 1.73.4 punkt końcowy RC `operations/fsinfo` jest dostępny bez wymaganego uwierzytelnienia i akceptuje kontrolowane przez atakującego dane wejściowe `fs`. Umożliwia to nieuwierzytelnionemu atakującemu zdalne wykonanie poleceń na serwerze poprzez wykorzystanie backendu WebDAV z parametrem `bearer_token_command`.

