Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W systemie SourceCodester CET Automated Grading System z AI Predictive Analytics 1.0 wykryto podatność polegającą na obejściu autoryzacji. Problem występuje w pliku /index.php?action=view_student, gdzie manipulacja argumentem ID pozwala na nieautoryzowany dostęp.
W systemie RT-Thread do wersji 5.0.2 wykryto słabość w funkcji sys_getaddrinfo w pliku components/lwp/lwp_syscall.c. Manipulacja argumentem ai_addr może prowadzić do uszkodzenia pamięci. Atak wymaga dostępu lokalnego i jest publicznie dostępny.
W bibliotece Open Asset Import Library Assimp do wersji 6.0.4 wykryto podatność w funkcji Assimp::Exporter::ExportToBlob w pliku code/AssetLib/Ply/PlyLoader.cpp. Manipulacja w obsłudze modeli PLY prowadzi do podwójnego zwolnienia pamięci (double free). Atak może być przeprowadzony zdalnie, a exploit został publicznie ujawniony.
Podatność w webpack-dev-server w wersjach 5.2.5 i wcześniejszych powoduje zakończenie procesu Node.js po otrzymaniu od nieuwierzytelnionego peera żądania HTTP z nieprawidłowym nagłówkiem Host lub żądania WebSocket z nieprawidłowym nagłówkiem Origin. Nieprawidłowa wartość wywołuje nieobsłużony wyjątek w walidacji hosta i powoduje awarię serwera deweloperskiego.
Podatność w webpack-dev-server w wersjach do 5.2.5 włącznie ujawnia dwa wewnętrzne endpointy deweloperskie, które wykonują zmiany stanu na każdym żądaniu GET bez weryfikacji pochodzenia żądania. Każda strona internetowa odwiedzona przez dewelopera podczas działania serwera może wywołać te endpointy między domenami bez żadnej interakcji poza samą wizytą.
W implementacji Fine-Grained Admin Permissions (FGAP) v2 w Keycloak wykryto lukę, która powoduje nieprawidłowe filtrowanie grup podrzędnych na podstawie uprawnień wywołującego. Delegowany administrator może uzyskać wgląd w szczegóły grup podrzędnych, do których nie ma bezpośredniego dostępu, w tym nazwy, ścieżki i atrybuty niestandardowe.
W Keycloak, w komponencie ClientResource usług administracyjnych, po włączeniu FGAP v2, delegowany administrator może dodawać lub usuwać ukryte zakresy klientów, do których nie ma uprawnień. Pozwala to na wstrzyknięcie nieautoryzowanych danych lub uprawnień do tokenów bezpieczeństwa użytkowników końcowych.
W interfejsie administracyjnym Keycloak wykryto podatność, która umożliwia administratorom z ograniczonymi uprawnieniami podgląd informacji o grupach, do których nie powinni mieć dostępu. Gdy włączone są nowe szczegółowe uprawnienia administracyjne (FGAP v2), administrator widzący konkretną rolę może również zobaczyć listę wszystkich grup przypisanych do tej roli, bez weryfikacji uprawnień do tych grup.
W demonie ipa-otpd w FreeIPA wykryto dwa błędy off-by-one w obsłudze autoryzacji OAuth2, które mogą prowadzić do odczytu lub zapisu poza granicami bufora podczas przetwarzania zbyt dużego odpowiedzi od zewnętrznego dostawcy tożsamości OAuth2/OIDC. Atakujący kontrolujący dostawcę lub przeprowadzający atak typu man-in-the-middle może wykorzystać tę podatność do uzyskania dostępu do pamięci poza buforem.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z dostępem lokalnym może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność w Dell PowerProtect Data Domain umożliwia atakującemu z wysokimi uprawnieniami i zdalnym dostępem wykorzystanie zewnętrznie kontrolowanego łańcucha formatującego. Może to prowadzić do ujawnienia informacji oraz odmowy usługi.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i zdalnym dostępem ujawnienie poufnych informacji.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na przepełnienie lub zawinięcie liczby całkowitej. Nieuwierzytelniony atakujący ze zdalnym dostępem może potencjalnie wykorzystać tę lukę, prowadząc do odmowy usługi.
Podatność w Prospero Flow CRM przed wersją 5.5.3 umożliwia uwierzytelnionemu atakującemu usunięcie dowolnych wydarzeń kalendarza innych użytkowników poprzez manipulację parametrem {id} w żądaniu GET do /calendar/event/delete/{id}. Brak kontroli własności (user_id/company_id) przed usunięciem pozwala na nieautoryzowane niszczenie danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Wysoko uprzywilejowany atakujący z lokalnym dostępem może wykorzystać tę lukę do wykonania dowolnych poleceń.
Podatność w Dell PowerProtect Data Domain umożliwia nieautoryzowane wykonanie poleceń przez lokalnego atakującego z wysokimi uprawnieniami. Problem wynika z nieprawidłowej autoryzacji w systemie.
Podatność w Dell PowerProtect Data Domain pozwala wysoko uprzywilejowanemu atakującemu z lokalnym dostępem na wykorzystanie niewłaściwego rozwiązywania dowiązań przed dostępem do pliku, co może prowadzić do ujawnienia informacji.
Podatność w Dell PowerProtect Data Domain powoduje wstawianie wrażliwych informacji do plików dziennika. Osoba atakująca z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę lukę do ujawnienia poufnych danych.
Produkt Dell PowerProtect Data Domain w wielu wersjach zawiera podatność polegającą na nieprawidłowym rozwiązywaniu dowiązań przed dostępem do pliku. Umożliwia ona atakującemu z wysokimi uprawnieniami i lokalnym dostępem uzyskanie nieautoryzowanego dostępu do systemu.
W systemie Dell PowerProtect Data Domain wykryto podatność polegającą na nieprawidłowym przypisaniu uprawnień do krytycznego zasobu. Luka ta może zostać wykorzystana przez lokalnego atakującego z wysokimi uprawnieniami, prowadząc do nieautoryzowanego dostępu.

