Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W składniku admin-ui-ext Keycloak znaleziono lukę, która dotyczy usuwania ról w trybie zbiorczym. Problemy z kontrolą uprawnień umożliwiają administratorowi z ograniczonymi uprawnieniami usunięcie ról o wysokich uprawnieniach z kont innych użytkowników lub grup.
Axios, klient HTTP oparty na obietnicach, przed wersjami 0.32.0 i 1.16.0, narażony był na ataki związane z zanieczyszczeniem prototypów. W wyniku tego, zanieczyszczone wartości mogły być cicho przechwytywane i wykorzystywane w nagłówkach żądań.
PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie dokumentu JSON z złośliwym kodem w określonej parze klucz-wartość. Jeśli superużytkownik wywoła funkcje import_database_rules() lub import_roles_rules(), złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.
IBM DevOps Plan w wersjach od 3.0.0 do 3.0.6 jest podatny na wstrzykiwanie nagłówków HTTP z powodu niewłaściwej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zanieczyszczenie pamięci podręcznej lub przejęcie sesji.
IBM Langflow Desktop w wersjach od 1.0.0 do 1.9.2 jest podatny na atak typu server-side request forgery (SSRF). Umożliwia to uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.
IBM Security QRadar EDR w wersjach od 3.12 do 3.12.24 przechowuje dane uwierzytelniające użytkowników w postaci niezaszyfrowanej, co umożliwia ich odczyt przez lokalnego użytkownika z uprawnieniami.
Podatność CVE-2026-6338 dotyczy smugglingu żądań HTTP oraz desynchronizacji w serii Kong Gateway Enterprise 3.4, 3.10, 3.11, 3.12, 3.13 i 3.14. Problem wynika z błędu parsowania w procesie przetwarzania żądań HTTP przez Kong, gdy obsługiwany jest niezaufany ruch HTTP/1.1.
Guzzle Services przed wersją 1.5.4 ma problem z bezpiecznym serializowaniem wartości elementów XML zawierających terminator CDATA `]]>`. Atakujący może wprowadzić złośliwe dane, co prowadzi do niezamierzonego zakończenia sekcji CDATA i interpretacji pozostałej części jako znaczników XML.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 nie odrzucała znaków kontrolnych ASCII, białych znaków ani DEL w komponentach hosta URI. To może prowadzić do wstrzykiwania dodatkowych nagłówków przez atakującego, co stwarza ryzyko dla aplikacji korzystających z kontrolowanych przez użytkownika URL.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 zawiera niewłaściwą walidację nagłówka Host, co może prowadzić do nieprawidłowego przetwarzania URI w żądaniach HTTP. Atakujący może wprowadzić złośliwy nagłówek Host, co skutkuje różnicą między oryginalną wartością a wartością URI hosta.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 18.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł odczytać dowolne pliki z serwera Gitaly oraz uzyskać dostęp do zasobów wewnętrznej sieci podczas importu repozytoriów, z powodu niewystarczającej walidacji drugorzędnych adresów URL.
GitLab naprawił problem w GitLab EE, który dotyczy wszystkich wersji od 13.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami roli Menedżera Bezpieczeństwa mógł zarządzać konfiguracją bezpieczeństwa projektu, nawet gdy odpowiednia funkcja była wyłączona, z powodu nieprawidłowego egzekwowania autoryzacji.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik z uprawnieniami dewelopera mógł zmodyfikować ukryte prośby o scalanie z powodu nieprawidłowego egzekwowania autoryzacji.
Cerebrate przed wersją 1.37 ujawnia dane uwierzytelniające z żądań samodzielnej rejestracji. Hasła użytkowników są przechowywane w danych wiadomości i mogą być zwracane w odpowiedziach API, co stwarza ryzyko ich ujawnienia.
Podatność w membraneframework membrane_mp4_plugin pozwala na nieautoryzowane wywołanie ataku typu denial-of-service poprzez wyczerpanie tabeli atomów BEAM. Parser nagłówka MP4 nie weryfikuje nazw boxów, co prowadzi do permanentnej alokacji atomów.
GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 17.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł spowodować odmowę usługi z powodu niekontrolowanego zużycia zasobów podczas przetwarzania specjalnie przygotowanego przesyłania pliku.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 17.0 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. Problem ten mógł pozwolić uwierzytelnionemu użytkownikowi na spowodowanie odmowy usługi na stronie katalogu CI/CD z powodu niewłaściwego oczyszczania danych.
W MetroStore występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
W podatności CVE-2023-25969 występuje brak autoryzacji w wtyczce ThemeHunk Contact Form & Lead Form Elementor Builder, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
Podatność CSRF w weDevs WooCommerce Conversion Tracking umożliwia atak typu Cross-Site Request Forgery. Dotyczy to wersji od n/a do 2.0.10.

