Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w Gitea act_runner z backendem Docker (do wersji act 0.262.0) pozwala na ominięcie ograniczeń trybu uprzywilejowanego. Poprzez przekazanie parametrów kontenera, takich jak --pid=host, --cap-add i --security-opt, użytkownik może uzyskać dostęp do przestrzeni nazw hosta i eskalować uprawnienia do roota.
Wtyczka Invoice Generator dla WordPressa do wersji 1.0.0 włącznie zawiera lukę umożliwiającą eskalację uprawnień. Brak weryfikacji uprawnień w akcji AJAX pravel_invoice_edit_account() pozwala nieuwierzytelnionym atakującym na zmianę adresu e-mail dowolnego użytkownika, w tym administratora, a następnie wykorzystanie mechanizmu resetowania hasła do przejęcia konta.
Podatność w oprogramowaniu układowym sterowników Daktronics umożliwia zdalnym użytkownikom (zarówno uwierzytelnionym, jak i nieuwierzytelnionym) opuszczenie zamierzonego katalogu i przeglądanie dowolnych ścieżek systemu plików.
W Kestra przed wersjami 1.0.45 i 1.3.21 filtr uwierzytelniania REST API pomija sprawdzanie poświadczeń dla żądań kończących się na '/configs'. Niezalogowany atakujący może wykorzystać to do tworzenia przepływów z zadaniami Shell lub Process, które wykonują się jako root w kontenerze, a przez zamontowany /var/run/docker.sock uzyskują dostęp do demona Dockera na hoście.
W Kestra OSS przed wersjami 1.0.45 i 1.3.21, filtr AuthenticationFilter używa metody endsWith("/configs") do sprawdzenia, czy żądanie dotyczy publicznego endpointu konfiguracji. Ponieważ jest to dopasowanie sufiksu, a nie dokładnej ścieżki, każdy interfejs API, którego ostatni segment to "configs", omija uwierzytelnianie. Niezautoryzowany atakujący może wykorzystać tę lukę do tworzenia i wykonywania dowolnych przepływów pracy bez poświadczeń.
Budibase przed wersją 3.39.9 zawiera podatność polegającą na nieprawidłowej walidacji dowiązań symbolicznych podczas przetwarzania plików ZIP. Atakujący na poziomie builder może wstrzyknąć dowiązanie symboliczne wskazujące na dowolny plik w systemie, który zostanie odczytany i przesłany do MinIO, a następnie udostępniony przez API.
Budibase przed wersją 3.39.12 zawiera podatność, która pozwala nieuwierzytelnionemu użytkownikowi na odczytanie wszystkich dokumentów z kolekcji MongoDB, CouchDB, Elasticsearch, DynamoDB-PartiQL lub REST-with-JSON-body, a w przypadku publicznych zapytań typu write również na modyfikację wszystkich dokumentów za pomocą jednego żądania HTTP. Problem wynika z nieprawidłowego walidowania danych wejściowych w funkcji validateQueryInputs, która odrzuca tylko znaczniki Handlebars, ale nie escapuje metaznaków JSON, co umożliwia wstrzyknięcie dodatkowych pól do obiektu filtra.
Budibase przed wersją 3.39.0 zawiera podatność, która pozwala anonimowemu atakującemu na uzyskanie podpisanej URL do zapisu do dowolnego zasobnika S3, do którego ofiara ma dostęp. Atak wymaga znajomości identyfikatora przestrzeni roboczej i źródła danych S3, ale nie wymaga uwierzytelnienia.
W jądrze Linux w systemie plików OCFS2 wykryto podatność polegającą na błędzie off-by-one w funkcji dlm_match_regions(). Pętla porównująca regiony lokalne i zdalne używa operatora '<=' zamiast '<', co powoduje odczyt poza prawidłowym zakresem tablicy qr_regions. Pozostałe pętle w tej samej funkcji poprawnie używają operatora '<'.
OpenProject przed wersjami 17.3.3 i 17.4.1 zawiera podatność na wstrzyknięcie SQL w funkcji znaczników czasu. Atakujący może wykorzystać parametr timestamps do wykonania nieautoryzowanych zapytań do bazy danych.
W OpenProject przed wersjami 17.3.3 i 17.4.1 wykryto podatność IDOR w endpointcie /projects/<A>/settings/project_storages/<A_ps_id> przez parametr PATCH "storages_project_storage[project_folder_id]". Administrator projektu może przejąć zarządzany folder Nextcloud lub OneDrive innego projektu na tym samym magazynie, co prowadzi do nieautoryzowanego dostępu do zasobów.
OpenProject to otwartoźródłowe oprogramowanie do zarządzania projektami oparte na sieci Web. Przed wersjami 17.3.3 i 17.4.1 zatrucie pamięci podręcznej prowadziło do zdalnego wykonania kodu (RCE).
Oficjalny obraz Dockera OpenProject zawiera domyślny klucz SECRET_KEY_BASE=OVERWRITE_ME, co w połączeniu z serializatorem cookies :marshal umożliwia każdemu zalogowanemu użytkownikowi deterministyczną deserializację Marshal przez czytnik ciasteczek /my/two_factor_devices. Podatność została naprawiona w nowszej wersji.
Narzędzie mise przed wersją 2026.3.10 przetwarza pliki .tool-versions przez silnik szablonów Tera z zarejestrowaną funkcją exec(), co umożliwia wykonanie dowolnych poleceń. W przeciwieństwie do plików .mise.toml, pliki .tool-versions nie podlegają weryfikacji zaufania w trybie nieparanoidalnym, co pozwala atakującemu na umieszczenie złośliwego pliku w repozytorium git i wykonanie kodu bez ostrzeżenia.
Podatność w Dokku przed wersją 0.38.7 pozwala na ucieczkę z kontenera Docker poprzez specjalne znaki powłoki w komendach cron w pliku app.json. Atakujący może wykonać dowolne polecenia na hoście jako użytkownik Dokku.
Podatność w Dokku przed wersją 0.38.2 pozwala na zdalne wykonanie kodu przez uwierzytelnionego użytkownika. Walidacja nazwy aplikacji przepuszcza znaki specjalne powłoki, które są następnie wstawiane bez cytowania do skryptu git hook, co umożliwia wykonanie dowolnych poleceń jako użytkownik dokku.
Dokku przed wersją 0.38.2 zawiera podatność w pluginie openresty-vhosts, która pozwala na wykonanie dowolnych poleceń na hoście jako użytkownik dokku. Problem wynika z nieprawidłowego interpolowania nazw plików z katalogu openresty/http-includes/ repozytorium git aplikacji do pojedynczo cytowanego łańcucha powłoki, który jest następnie przetwarzany przez eval. Nazwa pliku zawierająca apostrof przełamuje cytowanie i umożliwia podstawienie poleceń.
Podatność w Dokku przed wersją 0.38.2 pozwala atakującemu na zapis dowolnych plików w systemie poprzez wykorzystanie poleceń git:from-archive i certs:add. Atakujący może dostarczyć spreparowane archiwum tar/zip, które zawiera dowiązania symboliczne, co umożliwia nadpisanie pliku ~/.ssh/authorized_keys i uzyskanie nieograniczonego dostępu do powłoki.
Podatność polegająca na wstrzykiwaniu kodu po stronie serwera (SSTI) w komponencie oceny wyrażeń silnika szablonów Genshi w wersji 0.7.9 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu (RCE) poprzez spreparowane wyrażenia w szablonie.
Podatność w domyślnej maszynie JVM umożliwia dostęp do plików i katalogów w `/tmp/`, w tym do katalogów tymczasowych innych użytkowników na tym samym instancji chmurowej. Atakujący mający dostęp do współdzielonego `/tmp/` może przed uruchomieniem JVM ofiary utworzyć lub podmienić pliki `.jar` lub katalogi (poprzez plik `-init`), które zostaną załadowane jako pierwsze w classpath. W rezultacie może dojść do wykonania złośliwego kodu podczas startu JVM.

