Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Parse Server przed wersjami 8.6.78 i 9.9.1-alpha.2 ujawnia metadane schematu przez komunikaty o błędach walidacji GraphQL, co pozwala nieautoryzowanym użytkownikom na rekonstrukcję nazw klas i pól.
Solidtime to aplikacja do śledzenia czasu, która przed wersją 0.12.2 miała niewłaściwie skonfigurowane uprawnienia do API zaproszeń i członków. Pracownicy organizacji mogli uzyskać dostęp do adresów e-mail zaproszeń i członków, mimo że API zabraniało im tego dostępu.
Identyfikatory urządzeń Naxclow wykorzystują stałe prefiksy produkcyjne połączone z sekwencyjnymi licznikami, co prowadzi do przewidywalnej i enumerowalnej przestrzeni identyfikatorów. Dodatkowo, platforma udostępnia punkt końcowy, który ujawnia aktualny najwyższy identyfikator, co umożliwia enumerację aktywnej floty.
W Moby, w wersjach przed 2.0.0-beta.14 oraz w Docker Engine przed 29.5.1, występuje warunkowe wyścigu podczas konfiguracji montowania docker cp, co pozwala złośliwemu kontenerowi na tworzenie pustych plików lub katalogów w dowolnych absolutnych ścieżkach na systemie plików hosta.
Camaleon CMS w wersji 2.9.2 zawiera lukę w autoryzacji w punkcie końcowym autosave szkiców administratora. Użytkownik z niskimi uprawnieniami może wysłać dowolny post_id do POST /admin/post_type/<POST_TYPE_ID>/drafts i nadpisać szkic związany z postem innego użytkownika.
Typo-tolerancyjny silnik wyszukiwania Typesense ma problem z izolacją pamięci podręcznej, który dotyczy zapytań wyszukiwania korzystających z pamięci podręcznej wyników po stronie serwera oraz kluczy API Scoped Search. W wyniku określonego porządku zapytań, wyniki z pamięci podręcznej mogą być ponownie używane w zapytaniach z różnymi ograniczeniami kluczy API, co prowadzi do niezamierzonego ujawnienia wyników wyszukiwania.
W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami sterty w parserze obrazu vbmeta Android Verified Boot (AVB). Przepełnienie 32-bitowej liczby całkowitej bez znaku w sprawdzeniu granic pozwala na ominięcie walidacji przez pole salt_len kontrolowane przez atakującego.
Podatność w MariaDB pozwala na wykonanie zapytań SELECT ... INTO OUTFILE i SELECT ... INTO DUMPFILE bez wymaganego uprawnienia FILE, jeśli klauzula FROM zawiera wyłącznie podzapytania. Problem dotyczy wersji od 10.6.1 do 10.6.26, 10.11.1 do 10.11.17, 11.4.1 do 11.4.11, 11.8.1 do 11.8.7 oraz 12.3.1.
Serwer MariaDB w wersjach od 10.6.1 do przed 10.6.26, 10.11.1 do przed 10.11.17, 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1 miał problem z brakiem weryfikacji ścieżek zawierających /../ podczas rozpakowywania archiwum. Specjalnie przygotowane archiwum mogło spowodować utworzenie plików poza docelowym katalogiem.
W wersjach MariaDB od 11.4.1 do przed 11.4.11, 11.8.1 do przed 11.8.7 oraz 12.3.1, użytkownik z dostępem EXECUTE do procedury składowanej mógł zobaczyć definicję tej procedury, nawet bez uprawnienia SHOW CREATE ROUTINE. Problem został naprawiony w wersjach 11.4.11, 11.8.7 i 12.3.2.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 nie sanitizują odpowiedzi API zdalnego klastra podczas operacji PATCH. Umożliwia to uwierzytelnionym użytkownikom z uprawnieniem {{manage_secure_connections}} uzyskanie tokenów uwierzytelniających zdalnego klastra poprzez żądanie PATCH do punktu końcowego zdalnego klastra.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie wymagają uprawnień na poziomie systemu przy łatanie chronionych domyślnych ról systemowych. Umożliwia to uwierzytelnionym użytkownikom z delegowanymi uprawnieniami do zarządzania użytkownikami eskalację uprawnień poprzez modyfikację uprawnień wbudowanych ról za pomocą API łatania ról.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie egzekwują odpowiednich uprawnień przy tworzeniu zespołów, co pozwala uwierzytelnionym użytkownikom z uprawnieniem PermissionCreateTeam, ale bez PermissionInviteUser, na modyfikację ustawień zespołu dotyczących zaproszeń.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.16 nie weryfikują, czy nazwa użytkownika zwrócona podczas rejestracji bota należy do konta bota. To umożliwia nieuprzywilejowanemu atakującemu przechwycenie prywatnych wiadomości wysyłanych przez wtyczki za pomocą kanałów wiadomości bezpośrednich poprzez wcześniejszą rejestrację konta użytkownika z przewidywalną nazwą użytkownika bota wtyczki.
Cap-go Console w wersjach poniżej 12.28.2 zawiera podatność typu denial-of-service w procesie usuwania konta, która pozwala atakującemu zablokować funkcje uwierzytelniania i rejestracji. Problem polega na błędnym powiązaniu stanu usunięcia z identyfikatorem urządzenia, co prowadzi do przekierowania na stronę z informacją o zablokowanym koncie na około 30 dni.
W NanaZip, będącym pochodną 7-Zip, występuje podatność na przepełnienie bufora w pamięci w parserze metadanych fizycznych woluminów LVM2. Problem ten występuje w wersjach od 3.0.1000.0 do przed wersją 6.0.1698.0, gdy otwierany jest spreparowany obraz dysku LVM.
W NanaZip, od wersji 3.0.1000.0 do przed wersją 6.0.1698.0, występuje podatność na odczyt poza granicami stosu w parserze obrazu vbmeta Android Verified Boot (AVB). Atakujący może wykorzystać tę lukę do spowodowania awarii aplikacji przy otwieraniu spreparowanego pliku .avb lub .img.
Wersje Mattermost 11.6.x do 11.6.1, 11.5.x do 11.5.4 oraz 10.11.x do 10.11.15 i 10.11.x do 10.11.16 nie ograniczają transmisji zdarzeń websocket 'role_updated' do członków dotkniętego zespołu lub kanału. To pozwala uwierzytelnionemu atakującemu z dostępem na poziomie gościa obserwować powiadomienia o zmianach w schemacie uprawnień dla prywatnych zespołów, do których nie należy.
Wersje Crypt::PBKDF2 przed 0.261630 dla Perla mają słaby domyślny algorytm oraz liczbę iteracji. Domyślnym algorytmem jest HMAC-SHA1, który powinien być używany tylko w systemach dziedziczonych.
Podatność CVE-2026-5792 dotyczy Hedef Media Promotion Interactive Media Marketing Inc. i pozwala na ominięcie uwierzytelnienia poprzez fałszowanie, co umożliwia ataki typu Brute Force.

