Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie dokumentu JSON z złośliwym kodem w określonej parze klucz-wartość. Jeśli superużytkownik wywoła funkcje import_database_rules() lub import_roles_rules(), złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.
IBM DevOps Plan w wersjach od 3.0.0 do 3.0.6 jest podatny na wstrzykiwanie nagłówków HTTP z powodu niewłaściwej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zanieczyszczenie pamięci podręcznej lub przejęcie sesji.
IBM Langflow Desktop w wersjach od 1.0.0 do 1.9.2 jest podatny na atak typu server-side request forgery (SSRF). Umożliwia to uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.
IBM Security QRadar EDR w wersjach od 3.12 do 3.12.24 przechowuje dane uwierzytelniające użytkowników w postaci niezaszyfrowanej, co umożliwia ich odczyt przez lokalnego użytkownika z uprawnieniami.
Podatność CVE-2026-6338 dotyczy smugglingu żądań HTTP oraz desynchronizacji w serii Kong Gateway Enterprise 3.4, 3.10, 3.11, 3.12, 3.13 i 3.14. Problem wynika z błędu parsowania w procesie przetwarzania żądań HTTP przez Kong, gdy obsługiwany jest niezaufany ruch HTTP/1.1.
Guzzle Services przed wersją 1.5.4 ma problem z bezpiecznym serializowaniem wartości elementów XML zawierających terminator CDATA `]]>`. Atakujący może wprowadzić złośliwe dane, co prowadzi do niezamierzonego zakończenia sekcji CDATA i interpretacji pozostałej części jako znaczników XML.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 nie odrzucała znaków kontrolnych ASCII, białych znaków ani DEL w komponentach hosta URI. To może prowadzić do wstrzykiwania dodatkowych nagłówków przez atakującego, co stwarza ryzyko dla aplikacji korzystających z kontrolowanych przez użytkownika URL.
Biblioteka guzzlehttp/psr7 w wersjach przed 2.10.2 zawiera niewłaściwą walidację nagłówka Host, co może prowadzić do nieprawidłowego przetwarzania URI w żądaniach HTTP. Atakujący może wprowadzić złośliwy nagłówek Host, co skutkuje różnicą między oryginalną wartością a wartością URI hosta.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 18.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł odczytać dowolne pliki z serwera Gitaly oraz uzyskać dostęp do zasobów wewnętrznej sieci podczas importu repozytoriów, z powodu niewystarczającej walidacji drugorzędnych adresów URL.
GitLab naprawił problem w GitLab EE, który dotyczy wszystkich wersji od 13.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami roli Menedżera Bezpieczeństwa mógł zarządzać konfiguracją bezpieczeństwa projektu, nawet gdy odpowiednia funkcja była wyłączona, z powodu nieprawidłowego egzekwowania autoryzacji.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik z uprawnieniami dewelopera mógł zmodyfikować ukryte prośby o scalanie z powodu nieprawidłowego egzekwowania autoryzacji.
Cerebrate przed wersją 1.37 ujawnia dane uwierzytelniające z żądań samodzielnej rejestracji. Hasła użytkowników są przechowywane w danych wiadomości i mogą być zwracane w odpowiedziach API, co stwarza ryzyko ich ujawnienia.
Podatność w membraneframework membrane_mp4_plugin pozwala na nieautoryzowane wywołanie ataku typu denial-of-service poprzez wyczerpanie tabeli atomów BEAM. Parser nagłówka MP4 nie weryfikuje nazw boxów, co prowadzi do permanentnej alokacji atomów.
GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 17.10 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach uwierzytelniony użytkownik mógł spowodować odmowę usługi z powodu niekontrolowanego zużycia zasobów podczas przetwarzania specjalnie przygotowanego przesyłania pliku.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 17.0 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. Problem ten mógł pozwolić uwierzytelnionemu użytkownikowi na spowodowanie odmowy usługi na stronie katalogu CI/CD z powodu niewłaściwego oczyszczania danych.
W MetroStore występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
W podatności CVE-2023-25969 występuje brak autoryzacji w wtyczce ThemeHunk Contact Form & Lead Form Elementor Builder, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
Podatność CSRF w weDevs WooCommerce Conversion Tracking umożliwia atak typu Cross-Site Request Forgery. Dotyczy to wersji od n/a do 2.0.10.
Podatność CVE-2022-45813 dotyczy wtyczki BeRocket Advanced AJAX Product Filters, która ma brak autoryzacji, co pozwala na wykorzystanie niepoprawnie skonfigurowanych poziomów kontroli dostępu.
Cerebrate przed wersją 1.37 pozwalał na przesyłanie pola klucza głównego 'id' przez dane wejściowe podczas operacji edycji CRUD oraz w niektórych procesach patchowania niestandardowych encji. Umożliwiało to uwierzytelnionemu atakującemu złośliwe modyfikowanie rekordów, co prowadziło do aktualizacji niepowiązanych rekordów.

