Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.
SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.
changedetection.io to darmowe narzędzie open source do wykrywania zmian na stronach internetowych. Przed wersją 0.54.4 istniała podatność Zip Slip w funkcjonalności przywracania kopii zapasowych, która pozwalała na nadpisywanie dowolnych plików poprzez przejście ścieżki w przesyłanych archiwach ZIP.
AVideo to oprogramowanie platformy do udostępniania wideo. Przed wersją 7.0, nieautoryzowany atakujący mógł wykonać dowolne polecenia systemowe na serwerze poprzez wstrzyknięcie substytucji polecenia powłoki do parametru GET base64Url. Może to prowadzić do pełnego kompromitacji serwera, wycieku danych oraz zakłócenia usług.
Nuclio to framework 'Serverless' do przetwarzania zdarzeń i danych w czasie rzeczywistym. W wersjach przed 1.15.20 komponent Nuclio Shell Runtime zawierał podatność na wstrzyknięcie poleceń, ponieważ przetwarzał argumenty dostarczane przez użytkownika bez walidacji lub sanitizacji.
Biblioteka Authlib w wersjach od 1.6.5 do 1.6.6 nieprawidłowo weryfikowała tokeny JWT z algorytmem 'none' i pustym podpisem, przepuszczając je mimo oczekiwanego błędu. Luka została naprawiona w wersji 1.6.7.
OpenChatBI to inteligentne narzędzie BI oparte na czacie, które umożliwia użytkownikom zadawanie pytań, analizowanie i wizualizowanie danych za pomocą naturalnych rozmów. Przed wersją 0.2.2 narzędzie save_report w pliku openchatbi/tool/save_report.py ma krytyczną podatność na przejście ścieżki z powodu niewystarczającej sanitacji wejścia parametru file_format.
CocoIndex to framework do transformacji danych dla AI. Przed wersją 0.3.34, konektor docelowy Doris nie weryfikował skonfigurowanej nazwy tabeli przed tworzeniem niektórych instrukcji SQL (ALTER TABLE), co prowadziło do podatności na wstrzykiwanie SQL, jeśli nazwa tabeli była dostarczana przez niezaufane źródło.
Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.
W narzędziu oRPC, które służy do budowy API zgodnych z OpenAPI, przed wersją 1.13.6 występowała podatność na zanieczyszczenie prototypu w deserializerze JSON RPC pakietu @orpc/client. Ta podatność pozwalała nieautoryzowanym, zdalnym atakującym na wstrzykiwanie dowolnych właściwości do globalnego Object.prototype.
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.245.0, atakujący mógł wykorzystać funkcję ręcznego importu aktywów do przeprowadzenia pełnego odczytu SSRF, co pozwalało na eksfiltrację wrażliwych metadanych chmurowych (IMDS) lub skanowanie wewnętrznych usług sieciowych.
Chartbrew to aplikacja webowa typu open-source, która może łączyć się bezpośrednio z bazami danych i API, wykorzystując dane do tworzenia wykresów. Przed wersją 4.8.3, nieautoryzowany atakujący mógł wstrzyknąć dowolne zapytanie SQL do zapytań wykonywanych na bazach danych połączonych z Chartbrew (MySQL, PostgreSQL).
AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.
TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Przed wersją 2.03 występuje podatność na przepełnienie całkowitej liczby w procedurze konwersji ciągu na liczbę (_Val), co pozwala nieautoryzowanemu zdalnemu atakującemu na obejście ograniczeń Content-Length i przeprowadzenie ataku HTTP Request Smuggling.
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript do opisu kursu, co umożliwiało wykonanie tego kodu w kontekście innych użytkowników, w tym administratorów.
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript, co mogło prowadzić do przejęcia konta użytkowników o wyższych uprawnieniach.
Podatność CVE-2026-28710 dotyczy ujawnienia i manipulacji wrażliwymi informacjami z powodu niewłaściwej autoryzacji. Dotyczy to produktów Acronis Cyber Protect 17 (Linux, Windows) przed wersją 41186.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania.
Podatność w programie cenowym urządzeń Microsoft umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.

