Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność CVE-2026-50741 omija poprawkę dla CVE-2026-34916. Atakujący może ominąć zabezpieczenie, wysyłając niedozwolony, ale poprawny identyfikator wtyczki jako typ lub używając metody XML-RPC `ox.setChannelTargeting`.
W Revive Adserver 6.0.7 i wcześniejszych wersjach brak dezynfekcji danych wejściowych w skrypcie zone-include.php umożliwia ataki XSS. Niskouprzywilejowany użytkownik może wykorzystać parametr refresh w tagu wywołania iFrame do przeprowadzenia odbitego ataku XSS.
W Revive Adserver 6.0.7 i wcześniejszych wersjach odkryto obejście podatności CVE-2026-34913, polegające na braku walidacji własności przy odwrotnej operacji łączenia kampanii i trackerów przez skrypt `tracker-campaigns.php`. Użytkownik z niskimi uprawnieniami może połączyć swoje trackery z kampaniami należącymi do innych menedżerów w tej samej instancji, co prowadzi do niespójnych relacji własności.
Podatność w API uprawnień Node.js umożliwia uruchomienie lokalnego serwera przez gniazdo domeny Unix, nawet bez wymaganego uprawnienia `--allow-net`. Problem dotyczy linii wydania Node.js 26.
Podatność w API uprawnień Node.js umożliwia modyfikację metadanych pliku nawet na ścieżce ustawionej jako tylko do odczytu za pomocą flagi `--allow-fs-read`. Problem dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
W Node.js wykryto błąd w weryfikacji hosta TLS, który umożliwia atakującemu ominięcie walidacji certyfikatu. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w implementacji WebCrypto w Node.js powoduje awarię procesu, gdy dane wejściowe funkcji `subtle.encrypt()` mają rozmiar będący wielokrotnością 2 GiB. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 i Node.js 26.
Podatność w Node.js dotyczy obsługi nazw hostów TLS, gdzie osadzone znaki null (nul) w nazwach hostów mogą prowadzić do cichego ponownego wiązania autorytetu z powodu obcinania ciągów znaków w resolver bindings. Problem występuje we wszystkich wspieranych liniach wydań: Node.js 22, Node.js 24 i Node.js 26.
Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w kliencie HTTP/2 Node.js umożliwia serwerowi wysłanie nieograniczonej liczby ramek ORIGIN, co może prowadzić do błędu braku pamięci (Out of Memory) po stronie klienta. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w obsłudze nazw hostów TLS w Node.js powoduje, że obsługa separatora kropek Unicode może prowadzić do obejścia uwierzytelniania dla symboli wieloznacznych (wildcard) w certyfikatach TLS z powodu niezgodności normalizacji nazw hostów między resolverem a weryfikatorem.
Błąd w obsłudze błędów tunelu proxy w Node.js może ujawnić poświadczenia proxy w komunikatach błędów `ERR_PROXY_TUNNEL`. Gdy poświadczenia są osadzone w adresie URL proxy, mogą zostać ujawnione przez ścieżki obsługi błędów i przechwycone przez logi, diagnostykę lub inne mechanizmy konsumujące błędy.
Wtyczka Groundhogg dla WordPressa (wersje do 4.5.4 włącznie) zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'after'. Uwierzytelnieni atakujący z dostępem na poziomie Sales Managera lub wyższym mogą dołączać dodatkowe zapytania SQL do istniejących, co umożliwia wyodrębnienie wrażliwych danych z bazy. Dodatkowo, procedura AJAX wp_ajax_groundhogg_get_contacts_table ma wyłączoną kontrolę uprawnień i nie weryfikuje nonce, przez co każdy uwierzytelniony użytkownik może dotrzeć do podatnego kodu.
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych wymaga jedynie skrótu hasła podczas uwierzytelniania w usługach backendowych z poziomu klienta. Osoba atakująca, znająca ten skrót, może się uwierzytelnić i uzyskać pełny dostęp.
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i wcześniejszych używa algorytmu MD5 do generowania sygnatury żądań uwierzytelniających komunikację między klientem mobilnym a backendowym API REST. Atakujący mogą potencjalnie odwrócić sygnaturę, aby odzyskać identyfikator sesji.
Aplikacja Setracker2 Android Companion App w wersjach 3.1.5 i starszych szyfruje komunikację między zegarkiem a backendem przy użyciu statycznych, zakodowanych na stałe kluczy AES i wektorów inicjalizujących. Umożliwia to atakującemu odszyfrowanie ruchu sieciowego pochodzącego z zegarka Setracker2.
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i starszych generuje przewidywalny identyfikator rejestracji na podstawie numeru IMEI. System rejestracji nie wymaga dodatkowego uwierzytelnienia przed przypisaniem identyfikatora, co umożliwia atakującemu, po uzyskaniu tego identyfikatora, dowolne przypisywanie zegarków należących do innych użytkowników.
Podatność w systemie FOSSBilling (wersje 0.5.4 do 0.7.2) umożliwia nieuwierzytelnionemu atakującemu zdalne wywołanie endpointu /run-patcher, który wykonuje krytyczne operacje konserwacyjne, takie jak modyfikacja plików konfiguracyjnych, zmiany schematu bazy danych, operacje na systemie plików oraz czyszczenie pamięci podręcznej. Brak wymaganego uwierzytelnienia i walidacji CSRF pozwala na przeprowadzenie ataku typu DoS poprzez wysłanie prostego żądania HTTP GET.
W KubeVirt znaleziono podatność w serwerze downward metrics virtio-serial. Serwer odczytuje żądania gościa za pomocą textproto.Reader.ReadLine(), który buforuje dane wejściowe bez ograniczenia długości lub limitu czasu, dopóki nie otrzyma znaku nowej linii. Użytkownik mający dostęp do maszyny wirtualnej z skonfigurowanym urządzeniem downward metrics virtio-serial może wysłać ciągły strumień bajtów, powodując nieograniczoną alokację pamięci w procesie virt-handler, aż do jego zabicia przez OOM.
W KubeVirt znaleziono podatność SSRF w handlerze port-forward virt-api. Podczas przetwarzania żądania port-forward do instancji VMI, virt-api odczytuje docelowy adres IP z vmi.Status.Interfaces[0].IP i przekazuje go bezpośrednio do net.Dial() bez walidacji. Dla VMI używających nie-maskujących wiązań sieciowych (bridge lub secondary-only), ten adres IP jest raportowany przez agenta QEMU działającego wewnątrz VM i jest w pełni kontrolowany przez właściciela VM.

