Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Page Builder: Pagelayer dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez blok Anchor w wersjach do 2.0.9 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia.
Wtyczka Pagelayer do WordPressa jest podatna na błędną autoryzację we wszystkich wersjach do 2.0.9. Umożliwia to atakującym z poziomem dostępu Contributor i wyżej konfigurowanie dowolnych szablonów formularzy kontaktowych, które mogą być używane przez nieautoryzowane przesyłanie formularzy.
Wtyczka FooGallery dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr shortcode 'custom_attribute_key' w wersjach do 3.1.31 włącznie. Problem wynika z niekompletnej czarnej listy atrybutów zdarzeń JavaScript w funkcji foogallery_sanitize_javascript().
W skryptach obsługi zdarzeń po utworzeniu raportu w bibliotece libreport wykryto podatność na wstrzykiwanie treści. Skrypt odczytuje dziennik systemd w poszukiwaniu wpisów pasujących do procesu, który uległ awarii, i zapisuje wyniki do plików w katalogu zrzutu bez oczyszczania osadzonych znaków sterujących. Lokalny użytkownik może wstrzyknąć dowolną treść do wyjścia dziennika, osadzając znaki nowej linii w komunikatach syslog, kontrolując w ten sposób treść, którą root zapisuje do plików w katalogu zrzutu.
Wtyczka LWS Optimize – All-in-One Speed Booster & Cache Tools dla WordPressa jest podatna na nieautoryzowane odczyty plików w wersjach do 3.3.19 włącznie. Problem wynika z funkcji combine_current_css(), która nieprawidłowo przetwarza wartości <link rel="stylesheet" href="...">, co pozwala na odczyt dowolnych plików.
Podatność w Allegra umożliwia zdalnym atakującym wykonanie dowolnego skryptu na zainfekowanych instalacjach poprzez metodę downloadAttachment. Wymagana jest interakcja użytkownika, aby wykorzystać tę podatność, co oznacza, że ofiara musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.
Podatność w Allegra dotycząca metody exportReport umożliwia atakującym zdalne ujawnienie wrażliwych informacji. Wymagana jest autoryzacja, aby wykorzystać tę podatność.
W MISP występuje luka autoryzacji w obsłudze dodawania/edycji obiektów, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji obiektów przypisać obiekt MISP lub jego atrybuty do grupy udostępniania, do której nie ma uprawnień. Walidacja grupy udostępniania jest wykonywana na niewłaściwej strukturze danych, co umożliwia obejście tego sprawdzenia.
Capgo w wersjach przed 12.128.2 nie usuwa wcześniej przesłanych obrazów profilu z pamięci zapasowej, gdy użytkownicy je zastępują lub usuwają. Atakujący mogą uzyskać dostęp do osieroconych plików obrazów za pomocą wcześniej wygenerowanych adresów URL.
OpenClaw w wersjach przed 2026.5.7 zawiera podatność na walidację nazw hostów w punktach końcowych retry, co pozwala na dopasowywanie prefiksów nazw hostów zamiast dokładnych nazw. Atakujący mogą wykorzystać tę lukę, tworząc prefiks nazwy hosta przypominający zaufany host, aby wysłać materiały uwierzytelniające do niezaufanych punktów końcowych.
OpenClaw przed wersją 2026.5.6 zawiera lukę w wymuszaniu konfiguracji w powiązaniach dynamicznych agentów Feishu, która pozwala uwierzytelnionym nadawcom na tworzenie lub aktualizowanie powiązań bez przestrzegania skonfigurowanych kontroli zapisu konfiguracji.
OpenClaw przed wersją 2026.4.22 zawiera lukę umożliwiającą obejście unieważnienia sekretu webhooka, co pozwala na aktywność starych sekretów webhooka Slack i Zalo po wywołaniu secrets.reload. Atakujący mogą wykorzystać ten czas, aby dostarczać zdarzenia webhooka po oczekiwanym unieważnieniu sekretu przez operatora.
OpenClaw w wersjach przed 2026.5.2 zawiera podatność na ujawnienie poświadczeń w przekazywaniu message.action, co pozwala na przesyłanie ładunków akcji z poświadczeniami bramy do dostarczonych przez atakującego adresów URL pętli zwrotnej. Atakujący zdalnie mogą przechwytywać tokeny bramy i ładunki akcji, dostarczając złośliwe cele pętli zwrotnej przez metadane akcji kontrolowane przez model.
OpenClaw w wersjach przed 2026.4.26 zawiera podatność na ujawnienie informacji w procesie uruchamiania sesji w piaskownicy, co pozwala na ujawnienie rzeczywistej ścieżki roboczej do podprocesów. Atakujący mogą wykorzystać tę podatność, uruchamiając sesje podrzędne z rodziców w piaskownicy, aby ujawnić lokalizację hosta lub związany kontekst pamięci.
OpenClaw przed wersją 2026.4.7 zawiera podatność na odczyt dowolnych plików w funkcji wczytywania pamięci wiki, która pozwala uwierzytelnionym operatorom bramy z zakresem operator.write na odczyt lokalnych plików poza zamierzonymi źródłami wczytywania. Atakujący z dostępem operator.write mogą określać dowolne lokalne ścieżki plików do importu treści plików do pamięci wiki, omijając ograniczenia dostępu.
OpenClaw przed wersją 2026.4.24 zawiera podatność na unieważnienie tokenów, która pozwala na kontynuowanie wykonywania poleceń przez użytkowników z unieważnionymi tokenami slash podczas okien odświeżania monitora. Atakujący mogą wykorzystać akceptację przestarzałych tokenów do wywołania zachowania poleceń slash krótko po unieważnieniu tokena.
OpenClaw przed wersją 2026.5.12 zawiera lukę umożliwiającą obejście listy zakazów wykonywania w ścieżce sesji MCP loopback, co pozwala uwierzytelnionym użytkownikom na ominięcie zamierzonych ograniczeń poleceń.
Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę w funkcji getRedirectURL, która tworzy URL zwrotny OAuth2 bez walidacji nagłówka Host. Może to prowadzić do wstrzyknięcia nagłówka hosta.
Nezha Monitoring w wersjach od 1.0.0 do przed 2.2.0 ma lukę, która pozwala na tworzenie długoterminowych strumieni WebSocket bez ograniczeń. Dwa punkty końcowe, POST /api/v1/terminal i POST /api/v1/file, nie mają limitów użytkowników ani połączeń serwerowych.
Nezha Monitoring w wersjach od 2.0.14 do przed 2.1.0 pozwala na akceptację i przechowywanie nieistniejących identyfikatorów ddns_profiles dla serwera należącego do użytkownika. W przypadku, gdy inny użytkownik utworzy profil DDNS z jednym z tych identyfikatorów, może to prowadzić do wykorzystania konfiguracji profilu DDNS innego użytkownika w kontekście serwera napastnika.

