Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja pobiera identyfikator najemcy bezpośrednio z domeny e-mail podanej przez użytkownika, nie weryfikując własności ani rejestracji domeny, co umożliwia dostęp do danych między najemcami.
PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/results.routes.ts weryfikuje autoryzację, ale nie egzekwuje autoryzacji na poziomie obiektów, co pozwala na zwrócenie wszystkich wyników dla danego oceniania.
PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/student.submission.routes.ts weryfikuje uwierzytelnienie, ale nie egzekwuje autoryzacji na poziomie obiektów (sprawdzania własności).
PlaciPy to system zarządzania praktykami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0 punkt końcowy oceny kodu nie weryfikuje stanu cyklu życia oceny przed umożliwieniem jej wykonania.
MarkUs to aplikacja webowa do składania i oceniania prac studentów. W wersjach przed 2.9.1, instruktorzy mogli przesyłać plik zip, aby utworzyć zadanie z wyeksportowanej konfiguracji, co prowadziło do możliwości zapisu plików na dysku bez odpowiedniej weryfikacji ścieżek.
FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 klient URBDRC używa numerów interfejsów dostarczonych przez serwer jako indeksów tablic bez sprawdzania granic, co prowadzi do odczytu poza zakresem w libusb_udev_select_interface. Ta podatność została naprawiona w wersji 3.22.0.
FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 funkcja ecam_encoder_compress_h264 ufa wymiarom kontrolowanym przez serwer i nie weryfikuje rozmiaru bufora źródłowego, co prowadzi do odczytu poza zakresem w funkcji sws_scale. Ta podatność została naprawiona w wersji 3.22.0.
Fiber to framework webowy inspirowany Express, napisany w Go. W wersjach przed 2.52.11, na wersjach Go przed 1.24, implementacja crypto/rand może zwracać błąd, jeśli nie można uzyskać bezpiecznej losowości, co prowadzi do używania przewidywalnych identyfikatorów w krytycznych ścieżkach bezpieczeństwa.
W module haseł firmy Xpoda Türkiye Information Technology Inc. występuje podatność na wstrzykiwanie SQL (SQL Injection) z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy modułu haseł do dnia 11022026.
W JetBrains Hub przed wersją 2025.3.119807 istniała podatność umożliwiająca obejście uwierzytelniania, co pozwalało na wykonywanie działań administracyjnych.
C&Cm@il opracowany przez HGiga ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt i modyfikację treści wiadomości dowolnego użytkownika.
Dane uwierzytelniające użytkowników są przechowywane z użyciem szyfrowania AES‑ECB z twardo zakodowanym kluczem. Nieautoryzowany zdalny atakujący, który uzyska plik konfiguracyjny, może odszyfrować i odzyskać hasła oraz nazwy użytkowników, zwłaszcza w połączeniu z obejściem uwierzytelniania.
Nieprawidłowe zarządzanie długością podczas analizowania wielu pól cookie (w tym TRACKID) umożliwia nieautoryzowanemu zdalnemu atakującemu wysyłanie zbyt dużych wartości cookie, co prowadzi do przepełnienia bufora stosu. Może to skutkować awarią usługi oraz potencjalnym zdalnym wykonaniem kodu.
Podatność CVE-2026-22903 dotyczy zmodyfikowanego serwera lighttpd, który nie chroni przed zbyt długimi ciasteczkami SESSIONID. Atakujący zdalnie, bez uwierzytelnienia, może wysłać odpowiednio skonstruowane żądanie HTTP, co prowadzi do przepełnienia bufora stosu i awarii serwera.
GitLab naprawił podatność w komponencie Duo Workflow Service w bramie AI GitLab, która dotyczyła wszystkich wersji bramy AI od 18.1.6, 18.2.6, 18.3.1 do 18.6.1, 18.7.0 i 18.8.0. Podatność ta umożliwiała niebezpieczne rozszerzenie szablonów danych dostarczonych przez użytkowników, co mogło prowadzić do odmowy usługi lub wykonania kodu na bramie.
Biblioteka jsonpath przed wersją 1.3.0 jest podatna na zdalne wykonanie kodu (RCE) w środowisku Node.js oraz na ataki XSS w przeglądarce. Podatność wynika z niebezpiecznego użycia modułu static-eval do przetwarzania wyrażeń JSON Path, co pozwala atakującemu na wstrzyknięcie dowolnego kodu JavaScript. Dotyczy to wszystkich metod oceniających ścieżki JSON, takich jak .query, .nodes, .paths, .value, .parent i .apply.
Wykryto podatność w FAST/TOOLS dostarczonym przez firmę Yokogawa Electric Corporation. Produkt nieprawidłowo koduje adresy URL, co pozwala atakującemu na manipulację stronami internetowymi lub wykonywanie złośliwych skryptów.
Wykryto podatność w FAST/TOOLS dostarczanym przez Yokogawa Electric Corporation. Serwer webowy akceptuje metodę OPTIONS, co może być wykorzystane przez atakującego do przeprowadzenia innych ataków.
Wykryto podatność w FAST/TOOLS dostarczanym przez firmę Yokogawa Electric Corporation. Serwer WWW akceptuje dostęp za pomocą adresu IP, co może umożliwić atak robaka, który losowo przeszukuje adresy IP w sieci.
Wtyczka JAY Login & Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.03 włącznie. Problem wynika z możliwości aktualizacji dowolnych metadanych użytkownika przez funkcję 'jay_login_register_ajax_create_final_user'.

