Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Nieprawidłowe zarządzanie uprawnieniami w modułach STORM i OTRS (2026.x i nowsze) pozwala na uzyskanie informacji o liczbie dotkniętych CI, SLA i usługach bez konieczności dostępu do nich.
Nieprawidłowe zarządzanie uprawnieniami w interfejsie zewnętrznym OTRS oraz module listy ConfigItem pozwala uwierzytelnionemu klientowi na zapytanie systemu o informacje dotyczące CI. Problem występuje tylko, gdy CMDB jest włączone i używana jest obsługa grup klientów.
Wykryto podatność w unitedbyai droidclaw do wersji 0.5.3, która dotyczy nieznanej funkcji w pliku server/src/routes/pairing.ts komponentu claim Endpoint. Manipulacja prowadzi do niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia.
Wykryto podatność w Assimp do wersji 6.0.4, która dotyczy funkcji FBXExporter::WriteObjects w pliku FBXExporter.cpp komponentu UV Channel Handler. Manipulacja tą funkcją może prowadzić do błędu dzielenia przez zero.
W bibliotece Assimp do wersji 6.0.4 odkryto podatność w funkcji glTF2::LazyDict, która prowadzi do dereferencji wskaźnika null w wyniku manipulacji operatorem []. Atak musi być przeprowadzony lokalnie.
W bibliotece Assimp do wersji 6.0.4 znaleziono lukę, która występuje w funkcji Assimp::glTFImporter::ImportMeshes w pliku glTFImporter.cpp. Problem ten prowadzi do dereferencji wskaźnika null, co może być wykorzystane przez atakującego.
Wykryto podatność w Assimp do wersji 6.0.4, dotycząca funkcji glTF2Importer::ImportEmbeddedTextures. Manipulacja prowadzi do dereferencji wskaźnika null, co może być wykorzystane przez lokalnego atakującego.
W systemie zarządzania uczniami OUSL-GROUP-BrinaryBrains wykryto podatność w funkcji ajax_forgot_password w pliku application/controllers/Login.php. Manipulacja argumentem email prowadzi do osłabionej procedury odzyskiwania hasła, co może być wykorzystane zdalnie.
W systemie zarządzania studentami sambitraj w wersji 1.0 zidentyfikowano podatność w nieznanej funkcji komponentu Dashboard Page. Manipulacja argumentem Name prowadzi do ataku typu cross site scripting (XSS), który można przeprowadzić zdalnie.
Aplikacja desktopowa StrongDM przed wersją 23.74.0 (klient desktopowy przed wersją 53.77.0) na systemie Microsoft Windows przechowuje stan uwierzytelnienia, w tym token JWT i materiał klucza asymetrycznego, w postaci niezaszyfrowanej w pliku stanu użytkownika. Plik ten znajduje się w katalogu C:\Users\<nazwa_użytkownika>\.sdm\state.kv i jest chroniony jedynie domyślnymi uprawnieniami NTFS na poziomie użytkownika.
Rizin to framework do inżynierii wstecznej oraz zestaw narzędzi wiersza poleceń działający w systemach podobnych do UNIX. Występuje w nim przepełnienie bufora na stercie w pliku librz/bin/format/omf/omf.c, które zostało naprawione w wyniku commita e6d0937c8a083e23ed76ccfb9f631cdc50c7af47.
Rizin to framework do inżynierii wstecznej i zestaw narzędzi wiersza poleceń działający w systemach podobnych do UNIX. Występuje podwójne zwolnienie pamięci w funkcji byte_pattern_search() z powodu błędnie zadeklarowanej własności wskaźnika.
W wersjach 0.24.8 i wcześniejszych broker MQTT NanoMQ może dereferencjonować wskaźnik substrumienia, gdy substrumień jest w stanie ponownego otwarcia. Kod kończy operację AIO z błędem, ale nie zwraca przed zablokowaniem mutexa c->mtx.
W JetBrains IntelliJ IDEA przed wersją 2026.1 występowała podatność xXE w parserze formularzy UI Designer, która mogła być wykorzystana.
W wersjach JetBrains TeamCity przed 2026.1 istniała możliwość przeprowadzenia ataku typu stored XSS na stronie logowania SAML.
W wersjach JetBrains TeamCity przed 2026.1 występowała podatność na otwarte przekierowanie w wtyczce SAML. Umożliwia to atakującym przekierowanie użytkowników do złośliwych stron.
W wersjach JetBrains YouTrack przed 2026.1.13162 istniała możliwość ujawnienia informacji w żądaniach fetchApp.
QuickCMS jest podatny na ataki typu Cross-Site Scripting (XSS) z powodu niebezpiecznego mechanizmu pobierania wtyczek przez HTTP. Złośliwy atakujący może przeprowadzić atak typu Man-in-the-Middle (MITM), podszywając się pod serwer opensolution.org i serwując dowolny kod HTML lub JavaScript.
Podatność w systemie Infotainment / Digital Round motocykla Indian Motorcycle Scout Bobber + Tech (rocznik 2025) umożliwia atakującemu z sąsiedniej sieci ominięcie ekranu wprowadzania kodu PIN. System błędnie zakłada, że brak ruchu z modułu WCM podczas uruchamiania oznacza brak immobilizera, co pozwala na wyświetlenie normalnego interfejsu użytkownika bez autoryzacji.
Podatność w systemie Infotainment motocykla Indian Motorcycle Scout Bobber + Tech (rocznik 2025) pozwala atakującemu z sąsiedniej sieci ominąć ekran wprowadzania kodu PIN. System błędnie zakłada, że brak ruchu z modułu WCM podczas uruchamiania oznacza brak immobilizera, co skutkuje pominięciem ekranu blokady.

