Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wersje Crypt::PBKDF2 przed 0.261630 dla Perla mają słaby domyślny algorytm oraz liczbę iteracji. Domyślnym algorytmem jest HMAC-SHA1, który powinien być używany tylko w systemach dziedziczonych.
Podatność CVE-2026-5792 dotyczy Hedef Media Promotion Interactive Media Marketing Inc. i pozwala na ominięcie uwierzytelnienia poprzez fałszowanie, co umożliwia ataki typu Brute Force.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 występowała podatność typu XSS, która była przechowywana w widoku raportów/list. Problem został naprawiony w wersjach 15.107.2 i 16.17.4.
Netty, framework do aplikacji sieciowych, przed wersjami 4.1.135.Final i 4.2.15.Final miał problem z obsługą maksymalnego rozmiaru nagłówków HTTP/2, co umożliwiało atak podobny do ataku HTTP/2 Rapid Reset. W wyniku tego, podczas przetwarzania żądania mogło dojść do wyjątków przy zapisie nagłówków odpowiedzi.
Portal dewelopera Aqara (developer.aqara.com) wydaje token dewelopera dla dowolnego adresu e-mail podanego przez atakującego. Jest to przykład 'CWE-306: Brak uwierzytelnienia dla krytycznej funkcji', co stwarza ryzyko przejęcia urządzeń przez nieautoryzowanych użytkowników.
Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał lukę w zabezpieczeniach związaną z brakiem sprawdzania uprawnień w niektórych punktach końcowych, co umożliwiało nieautoryzowany dostęp do zasobów.
W wersjach przed 4.1.135.Final i 4.2.15.Final, `HttpObjectDecoder` w frameworku Netty pomijał bajty kontrolne oraz białe znaki przed odczytem pierwszej linii żądania. To może prowadzić do nieprawidłowego rozpoznawania granic żądania w złożonych transportach, co stwarza ryzyko ataków.
Netty przed wersją 4.2.15.Final ujawnia token resetu stateless w ścieżce sieciowej, co może być wykorzystane przez atakującego do przeprowadzenia ataku typu Denial of Service.
IPAM, menedżer adresów IP dla Cluster API Provider Metal3, przed wersjami 1.11.7, 1.12.4 i 1.13.0, przyznawał pełne uprawnienia CRUD dla core/v1 Secrets. W normalnych warunkach controller nie uzyskuje dostępu do Secrets, jednak w przypadku kompromitacji podu kontrolera, atakujący mógłby wykorzystać te nadmierne uprawnienia do odczytu, modyfikacji lub usunięcia Secrets.
Frappe to framework aplikacji webowych. Przed wersją 16.17.4, każdy uwierzytelniony użytkownik mógł uzyskać dostęp do prywatnych plików, zgadując ścieżkę do pliku. Problem został naprawiony w wersji 16.17.4.
Rozszerzenie unbounded_spsc w wersjach 0.2.0 i wcześniejszych zawiera błąd, który prowadzi do odczytu poza granicami pamięci oraz fałszywego zwolnienia zasobów w wyniku wyścigu między nadawcą a odbiorcą.
Frappe to pełnostackowy framework aplikacji webowych. Przed wersją 16.17.4 każdy użytkownik mógł modyfikować dowolne pole w każdym rekordzie kroku onboardingu. Problem ten został naprawiony w wersji 16.17.4.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4, każdy uwierzytelniony użytkownik mógł zresetować proces wprowadzania dla wszystkich użytkowników w systemie.
OpenTelemetry-cpp przed wersją 1.27.0 ma podatność, w której eksportery OTLP HTTP (śladów/metryk/logów) odczytują pełną odpowiedź HTTP do wektora bajtów w pamięci bez ograniczenia rozmiaru. Może to prowadzić do wyczerpania pamięci, gdy skonfigurowany punkt końcowy kolektora jest kontrolowany przez atakującego.
Frappe to framework aplikacji webowych, który przed wersjami 15.107.0 i 16.17.0 miał brak walidacji w punkcie końcowym 'submit_discussion()', co umożliwiało nieautoryzowany dostęp do zasobów.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.0 i 16.17.0 występowała podatność IDOR, która pozwalała uwierzytelnionym użytkownikom na dostęp do szczegółów konfiguracji e-mail innych użytkowników.
Frappe to framework aplikacji webowych. Przed wersjami 15.107.2 i 16.17.4 istniała możliwość enumeracji schematu bazy danych poprzez wykorzystanie jednego z punktów końcowych. Problem ten został naprawiony w wersjach 15.107.2 i 16.17.4.
W Devolutions PowerShell Universal w wersji 2026.1.7 i wcześniejszych występuje niewłaściwa kontrola dostępu, która pozwala nieautoryzowanemu zdalnemu atakującemu na uzyskanie specyfikacji OpenAPI zdefiniowanych przez użytkownika punktów końcowych REST.
Framework Nuxt przed wersjami 3.21.7 i 4.4.7 nie weryfikował schematu URL dla wartości przypisanych do atrybutów to lub href komponentu <NuxtLink>. Umożliwia to atakującym wstrzykiwanie złośliwych skryptów, co prowadzi do refleksyjnego ataku XSS.
Frappe to framework aplikacji webowych, w wersjach przed 15.106.0 i 16.16.0 występowała podatność na przechowywane XSS w module Note z powodu braku sanitizacji. Problem został naprawiony w wersjach 15.106.0 i 16.16.0.

