Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W trakcie wewnętrznej oceny bezpieczeństwa odkryto potencjalną podatność w niektórych firmware'ach kontrolera wbudowanego ThinkPad, która może pozwolić uprzywilejowanemu lokalnemu użytkownikowi na wykonywanie dowolnych odczytów lub zapisów w uprzywilejowanych obszarach pamięci.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie szyfruje sekretów z przesyłanych formularzy POST config.xml przed ich zapisaniem w plikach konfiguracyjnych zadań. Sekrety są przechowywane w plikach config.xml w formie niezaszyfrowanej, co umożliwia ich przeglądanie użytkownikom z uprawnieniami Item/Extended Read lub dostępem do systemu plików kontrolera Jenkins.
Podatność XSS w Jenkinsie pozwala atakującym z uprawnieniami Agent/Configure na wstrzyknięcie złośliwego skryptu przez nieuciekający opis przyczyny offline agenta ustawiany przez API POST config.xml. Dotyczy to wersji Jenkins 2.483 do 2.567 oraz LTS 2.492.1 do 2.555.2.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nie weryfikuje bezpieczeństwa parametru 'from' w ramach bezpieczeństwa 'Delegate to servlet container', co umożliwia atakującym przeprowadzanie ataków phishingowych poprzez przekierowywanie użytkowników na domeny kontrolowane przez atakujących.
Brak kontroli uprawnień w Jenkins 2.567 i wcześniejszych wersjach, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Overall/Read określenie skonfigurowanej strefy czasowej innych użytkowników oraz enumerację nazw widoków innych użytkowników w sekcji 'Moje widoki'.
Brak weryfikacji uprawnień w Jenkins 2.567 i wcześniejszych, LTS 2.555.2 i wcześniejszych, umożliwia atakującym z uprawnieniami Item/Cancel, ale bez uprawnień Item/Read, anulowanie elementów w kolejce, do których nie mają dostępu.
Podatność w Jenkins 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych polega na nieprawidłowym określaniu, że adres URL przekierowania po logowaniu jest legalnie skierowany do Jenkinsa, gdy zawiera znaki tabulacji lub nowej linii między `//`. Umożliwia to atakującym przeprowadzanie ataków phishingowych.
Jenkins w wersjach 2.567 i wcześniejszych oraz LTS 2.555.2 i wcześniejszych nieprawidłowo określa, że adres URL przekierowania po zalogowaniu prawidłowo wskazuje na Jenkins, gdy zawiera segmenty ścieżki względnej (`./` lub `../`). To umożliwia atakującym przeprowadzanie ataków phishingowych.
Ghidra w wersjach przed 12.1.1 zawiera podatność na niekontrolowaną alokację pamięci w parserze binarnym Mach-O, co pozwala atakującym na wywołanie odmowy usługi. Atakujący może dostarczyć spreparowany plik Mach-O z dowolnie dużą wartością ncmds, co zmusza parser do alokacji nadmiernej pamięci na stercie, co prowadzi do awarii JVM Ghidra.
Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji HighVariable::merge() podczas łączenia zmiennych. Atakujący mogą wykorzystać tę podatność, tworząc binarny plik, który powoduje dereferencję przestarzałych wskaźników w pamięci podręcznej HighIntersectTest::highedgemap.
Ghidra przed wersją 12.2 zawiera podatność na nieautoryzowany dostęp do systemu plików w IsfServer, który akceptuje połączenia TCP i przekazuje dostarczone przez klienta ciągi nazw przestrzeni bez walidacji. Zdalni atakujący mogą połączyć się z portem 54321 i wysyłać spreparowane wiadomości protobuf z sekwencjami przejścia, aby enumerować ścieżki systemu plików i badać dowolne pliki.
Ghidra w wersjach przed 12.0.3 zawiera podatność na wyczerpanie pamięci w funkcji rust_demangle, która alokuje nieograniczone bufory wyjściowe bez limitów rozmiaru. Atakujący mogą stworzyć złośliwe nazwy symboli Rust w binariach, co prowadzi do wykładniczej alokacji pamięci i awarii procesów podczas analizy binarnej.
Ghidra przed wersją 12.1 zawiera podatność typu heap-use-after-free w funkcji SleighBuilder::generatePointerAdd, spowodowaną unieważnieniem iteratora podczas ponownej alokacji wektora przez PcodeCacher::allocateInstruction. Atakujący mogą wywołać uszkodzenie pamięci, dekompilując złośliwe binaria za pomocą publicznego interfejsu C++ Sleigh::oneInstruction.
Ghidra w wersji 10.2 przed 12.1 zawiera podatność na niekontrolowane zużycie zasobów w funkcji ExportTrie.parseTrie(). Brak detekcji cykli podczas przetwarzania binarnych plików Mach-O prowadzi do nieograniczonego wzrostu kolejki i wykładniczej konkatenacji łańcuchów.
Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Parser używany do odczytu plików manifestu akceptował dowolne, w pełni kontrolowane przez użytkownika ścieżki, co mogło prowadzić do tworzenia dowolnych linków symbolicznych na serwerze roboczym.
Debusine to zintegrowane rozwiązanie do budowy, dystrybucji i utrzymania dystrybucji opartej na Debianie. Punkty końcowe, które tworzą i usuwają relacje między artefaktami, nie wprowadzają żadnych kontroli uprawnień poza możliwością zobaczenia odpowiednich artefaktów.
Wtyczka Easy Image Collage dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametry 'grid[properties][borderColor]' oraz 'grid[images][N][attachment_url]' w wersjach do 1.13.6 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
Wtyczka MW WP Form dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'memo' w wersjach do 5.1.3 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie edytora i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.
Wtyczka aThemes Addons dla Elementora w WordPressie jest podatna na przechowywane ataki Cross-Site Scripting poprzez ustawienie 'title_tag' Widgetu w wersjach do 1.1.8 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie współtwórcy i wyżej wstrzykiwanie dowolnych skryptów webowych na stronach.
W niektórych produktach Dahua odkryto podatność, która może pozwolić uwierzytelnionemu zdalnemu atakującemu na wysłanie specjalnie przygotowanego pakietu, co prowadzi do nieoczekiwanego restartu systemu i w rezultacie do odmowy usługi.

