Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W warstwie adaptacyjnej ISO kontrolera Bluetooth Zephyr (isoal.c) brakuje walidacji długości segmentu startowego ramki PDU ISO. Atakujący przez Bluetooth może wysłać spreparowany pakiet, powodując niedomiar liczby całkowitej i odczyt poza zakresem bufora.
Aplikacja HP Fan Control może umożliwiać lokalną eskalację uprawnień. Luka wynika z nieprawidłowej kontroli dostępu w oprogramowaniu do zarządzania wentylatorami firmy HP.
Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a endpoint listy zwraca sekretne klucze w postaci jawnego tekstu.
W Dolibarr do wersji 23.0.3 (załatanym w commicie 14db36e) wykryto podatność na iniekcję SQL. Uwierzytelnieni użytkownicy API mogą wyodrębnić dowolne dane z bazy, podając złośliwe wartości w parametrze sqlfilters w endpointach REST API dla słowników i walut wielowalutowych.
JimuReport do wersji 2.5.0 udostępnia endpoint POST /jmreport/auto/export bez wymaganego uwierzytelnienia. Adnotacja @JimuNoLoginRequired powoduje pominięcie wszystkich kontroli dostępu, a usługa eksportu strumieniuje raport dla dowolnego identyfikatora bez weryfikacji flagi konfiguracyjnej auto-eksportu. Nieuwierzytelniony atakujący może enumerować identyfikatory raportów Snowflake i wyeksportować pełną zawartość dowolnego raportu, w tym dane z zapytań SQL oraz poświadczenia osadzone w źródłach danych.
Podatność w CVAT przed wersją 2.69.0 w klasie QualityReportViewSet.get_queryset umożliwia uwierzytelnionym atakującym enumerację identyfikatorów raportów jakości należących do innych organizacji. Brak wywołania check_object_permissions na parametrze parent_id w API raportów jakości pozwala na rozróżnienie istniejących i nieistniejących raportów poprzez odpowiedzi HTTP 500 i 404.
SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego zasobnika może usunąć dowolne obiekty w zasobnikach innych dzierżawców, podając klucze obiektów zawierające sekwencje ../ w treści żądania XML DeleteObjects.
Podatność w SeaweedFS przed wersją 4.30 powoduje, że parametr wywołania zwrotnego (callback) jest odbijany bez walidacji w odpowiedziach JSON z typem MIME application/javascript. Brak nagłówka X-Content-Type-Options: nosniff oraz listy dozwolonych domen CORS umożliwia atakującemu wczytanie odpowiedzi z dowolnego punktu końcowego JSON (w tym nieuwierzytelnionych) za pomocą znacznika <script> z zewnętrznej strony.
Podatność w Woodpecker przed wersją 3.15.0 pozwala na ominięcie listy ApprovalAllowedUsers poprzez manipulację polem pipeline.Author. Dla integracji z GitLab, autor zatwierdzenia (commit author) jest pobierany z danych webhooka, które mogą być kontrolowane przez atakującego. Użytkownik otwierający merge request z forka może ustawić nazwę autora tak, aby pasowała do wpisu na liście ApprovalAllowedUsers, co powoduje, że pipeline uruchamia się bez wymaganej zgody.
Woodpecker przed wersją 3.15.0 udostępnia endpoint /api/orgs/lookup/*org_full_name bez uwierzytelniania, a procedura obsługi wywołuje pusty wskaźnik (NULL pointer dereference) dla nieuwierzytelnionych żądań. Każde takie żądanie powoduje panic, który jest przechwytywany przez middleware gin, ale generuje wieloliniowy stack trace w logach błędów.
W systemie RuoYi-Vue-Plus do wersji 5.6.2 (poprawione w commicie 88d03d9) endpointy zarządzania zadaniami przepływu pracy w kontrolerze FlwTaskController nie mają żadnej kontroli uprawnień. Każdy uwierzytelniony użytkownik, niezależnie od przypisanej roli, może zmieniać przypisanie zadań, przyspieszać je oraz przeglądać wszystkie oczekujące i zakończone zadania.
Podatność w Hermes WebUI przed wersją 0.51.521 pozwala na ominięcie izolacji profili. Podczas importowania sesji weryfikowany jest obszar roboczy aktywnego profilu, ale obiekt sesji jest tworzony bez ustawienia profilu, co skutkuje zapisaniem sesji z pustym profilem. Pusty profil jest traktowany jako domyślny, co umożliwia użytkownikowi na profilu domyślnym wyeksportowanie transkryptu sesji i odczytanie plików z obszaru roboczego nazwanego profilu.
Podatność typu path traversal w Vibe-Trading przed wersją 0.1.10 pozwala atakującym na zapisywanie plików poza zamierzonym katalogiem głównym pamięci poprzez dostarczenie złośliwej wartości memory_type zawierającej sekwencje nawigacji po ścieżkach. Atakujący mogą manipulować parametrem memory_type w trwałym magazynie pamięci, co powoduje zapis dowolnych plików Markdown w nieprzeznaczonych lokalizacjach w systemie plików.
Podatność w Ocelot do wersji 24.1.0 (załatana w commicie f156fd4) pozwala ominąć ograniczenia dostępu oparte na adresie IP poprzez wysłanie żądania WebSocket. Gałąź potoku WebSocket zdefiniowana w OcelotPipelineExtensions.cs pomija SecurityMiddleware, przez co żądania z zablokowanych adresów IP są przekazywane do usług niższego poziomu bez egzekwowania listy dozwolonych/zablokowanych.
Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na odczyt i nadpisanie plików run.json poza katalogiem runs. Atakujący może wykorzystać spreparowany identyfikator uruchomienia przekazany przez narzędzia MCP swarm, co prowadzi do naruszenia poufności i integralności danych.
Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na wstrzyknięcie ścieżki (path traversal) podczas budowania ścieżki pliku propozycji. Atakujący może załadować kontrolowany plik JSON jako autorytatywny mandat handlowy, omijając walidację limitów.
Podatność DNS rebinding w Vibe-Trading przed wersją 0.1.10 umożliwia ominięcie uwierzytelniania bearer-token. Atakujący może wykorzystać zaufanie serwera do adresów TCP dla klientów loopback oraz brak walidacji nagłówka Host przy wiązaniu do 0.0.0.0 z uwierzytelnionym CORS. Skutkuje to zdalnym wykonaniem kodu i kradzieżą poświadczeń.
Podatność w DeepTutor przed wersją 1.4.10 umożliwia ominięcie autoryzacji, przez co użytkownicy z niskimi uprawnieniami mogą wywoływać nieograniczone narzędzia MCP. Funkcja allowed_mcp_tools zwraca None zamiast wyniku odmowy, gdy mcp_tools jest pominięte w przyznanych uprawnieniach.
Podatność w Nightingale (n9e) przed wersją 9.0.0-beta.2 umożliwia każdemu uwierzytelnionemu użytkownikowi z niskimi uprawnieniami (rola Standard) odczyt pełnych konfiguracji źródeł danych, w tym haseł baz danych, tokenów HTTP Bearer, haseł HTTP Basic Auth oraz kluczy klienckich mTLS. Dzieje się tak przez endpoint POST /api/n9e/datasource/list, który nie wymaga autoryzacji administratora, a filtr DatasourceFilter nie usuwa pól zawierających sekrety.
OpenBMB ChatDev do wersji 2.2.0 (poprawione w commicie 4fd4da6) zawiera podatność na path traversal, która pozwala nieuwierzytelnionym zdalnym atakującym na zapis lub usunięcie dowolnych plików poprzez dostarczenie złośliwej nazwy pliku w endpointcie uploadu. Atakujący mogą wysłać spreparowaną nazwę pliku zawierającą sekwencje path traversal lub ścieżkę absolutną do endpointu POST uploads session, co powoduje, że operacje zapisu i czyszczenia plików są wykonywane na ścieżkach wybranych przez atakującego w systemie plików serwera.

