Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej autoryzacji w punkcie końcowym konfiguracji aplikacji. Umożliwiała ona nieuprawnioną modyfikację ustawień projektu.
W JetBrains YouTrack przed wersją 2026.2.16593 odkryto podatność umożliwiającą ujawnienie ustawień projektu poprzez protokół MCP. Luka ta pozwala nieautoryzowanym użytkownikom na dostęp do wrażliwych konfiguracji projektów.
W JetBrains YouTrack przed wersją 2026.2.16593 wykryto podatność polegającą na nieprawidłowej kontroli dostępu. Umożliwiała ona odczyt prywatnych danych użytkowników za pośrednictwem punktu końcowego szablonów komentarzy.
W JetBrains Kotlin przed wersją 2.4.20 wykryto podatność umożliwiającą wykonanie kodu poprzez niebezpieczną deserializację w metadanych pamięci podręcznej kompilacji (build cache metadata).
Moduł Go Mattermosta github.com/mattermost/mattermost/server/public w wersjach starszych niż v0.1.22 nie waliduje parametrów ścieżki podczas konstruowania tras API. Umożliwia to atakującemu przekierowanie wywołań API do nieprzewidzianych punktów końcowych za pomocą spreparowanych identyfikatorów zawierających komponenty typu path traversal.
Podatność w Peplink InControl 2 do wersji 2.14.2 przed 2026-06-03 umożliwia ominięcie reguł kontroli dostępu dla niektórych endpointów /rest/o/{orgId} poprzez użycie średnika.
Podatność w Apache Kerby umożliwia ominięcie sprawdzenia pre-autoryzacji Kerberos poprzez wysłanie pakietu PA-DATA z nierozpoznanym lub nieobsługiwanym typem. Atakujący może uzyskać dostęp bez poprawnego uwierzytelnienia.
Podatność typu OS Command Injection w modułach Dell Container Storage Modules (csi-powerstore, csi-unity, csi-powerflex, csi-powermax w wersji 2.16.0) pozwala wysoko uprzywilejowanemu atakującemu z dostępem zdalnym na wykonanie dowolnych poleceń systemu operacyjnego.
W Apache IoTDB wykryto podatność na path traversal, umożliwiającą dostęp do plików poza ograniczonym katalogiem. Problem dotyczy wersji od 1.0.0 do 1.3.5 oraz od 2.0.0 do 2.0.6.
W Apache IoTDB wykryto podatność typu Path Traversal, która pozwala na ominięcie ograniczeń ścieżek dostępu do plików. Problem dotyczy wersji od 2.0.0 do 2.0.6 oraz od 1.0.0 do 1.3.6.
Wysłanie głęboko zagnieżdżonej struktury ASN1 do klienta lub usługi Apache Kerby może spowodować wyjątek StackOverFlow, prowadzący do odmowy usługi (DoS).
Wtyczka Exclusive Addons Elementor dla WordPressa zawiera podatność na trwały atak XSS (Stored Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron. Luka występuje we wszystkich wersjach do 2.7.9.8 włącznie.
Podatność w bibliotece libnfs do wersji 6.0.2 przed commit 935b8db powoduje niedomiar liczby całkowitej w polu xid w funkcji READ_IOVEC w pliku lib/socket.c. Problem występuje podczas połączenia ze spreparowanym serwerem NFS, gdy oczekiwany rozmiar PDU przekracza bezwzględny rozmiar PDU z xid/znacznika rekordu.
Podatność w systemie Johnson & Johnson Audit Tracking Management System (ATMS) przed wersją z 21 kwietnia 2026 roku umożliwia nieautoryzowany dostęp do protokołów i transkryptów spotkań.
Podatność w systemie rekrutacyjnym Johnson & Johnson Campus Recruiting przed 31 października 2025 roku umożliwia nieautoryzowany wgląd w dane osobowe kandydatów oraz notatki sporządzone przez rekruterów.
Podatność w usługach netclient i factory w Reolink Home Hub (wersje przed v3.3.0.456_26031911) umożliwia atak brute-force na poświadczenia. Atakujący w tej samej sieci lokalnej może przechwycić ruch między Hubem a kamerami i skompromitować ich dane logowania.
W KubeVirt znaleziono poważną lukę w proxy migracji. Gdy w zasobie niestandardowym KubeVirt ustawiono spec.configuration.migrations.disableTLS na true, docelowy virt-handler tworzy zwykły nasłuch TCP na wszystkich interfejsach (0.0.0.0/::) na losowym porcie bez uwierzytelniania, listy dozwolonych peerów ani tokena uzgadniania. Ten nasłuch proxy bezpośrednio do gniazda kontrolnego virtqemud docelowego virt-launchera.
Podatność typu Code Injection w Trellix Network Security CM i NX umożliwia lokalnie uwierzytelnionemu administratorowi wykonanie dowolnego kodu poprzez interfejs webowy i szczegóły artefaktu Alert.
Podatność w jupyter/nbconvert w wersjach do 7.17.0 umożliwia atak typu Cross-site Scripting (XSS) przez niesanitowane dane wyjściowe `text/vnd.mermaid` w eksporcie HTML. Blok `data_mermaid` w szablonie `share/templates/lab/base.html.j2` renderuje zawartość komórki `text/vnd.mermaid` bezpośrednio do HTML bez odpowiedniego escapingu, co pozwala atakującemu na wstrzyknięcie dowolnego kodu HTML/JavaScript poprzez wyjście poza znacznik `<pre>`.
Wtyczka User Registration & Membership dla WordPressa w wersjach do 5.2.0 zawiera podatność polegającą na braku walidacji w funkcji confirm_payment(). Umożliwia to nieuwierzytelnionym atakującym ominięcie procesu płatności i aktywację płatnych członkostw.

