Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w aplikacji UniFi Network Application umożliwia atakującemu z dostępem do sieci przeprowadzenie ataku typu Denial of Service (DoS) poprzez niewłaściwą walidację danych wejściowych.
Podatność SQL Injection w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniach lub instancjach z tym systemem.
Podatność typu Path Traversal w urządzeniach z systemem UniFi OS umożliwia osobie atakującej z dostępem do sieci ominięcie uwierzytelniania. Luka występuje w określonych urządzeniach lub instancjach działających pod kontrolą UniFi OS.
Podatność w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu poprzez niewłaściwą walidację danych wejściowych.
Podatność SSRF w systemie UniFi OS umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację przywilejów na urządzeniu lub w instancji.
Podatność w aplikacji UniFi Access umożliwia eskalację uprawnień na urządzeniu hosta. Osoba atakująca z dostępem do sieci i wysokimi uprawnieniami może wykorzystać niewłaściwą kontrolę dostępu.
W jądrze Linuxa w podsystemie Bluetooth L2CAP wykryto podatność polegającą na nieprawidłowej kolejności blokad podczas zamykania kanałów w funkcji cleanup_listen(). Zamiast bezpośredniego wywołania l2cap_chan_close(), które mogło prowadzić do odwrócenia kolejności blokad (deadlock), zastosowano asynchroniczne zamykanie kanałów za pomocą timera.
W jądrze Linuxa wykryto podatność use-after-free (UAF) w stosie Bluetooth. Problem występuje w funkcjach l2cap_sock_cleanup_listen() i l2cap_conn_del(), gdzie podczas zamykania gniazda nasłuchującego i równoczesnego rozłączania HCI dochodzi do wyścigu, w wyniku którego zwalniane jest gniazdo potomne, a następnie używane przez funkcję czyszczącą. Podatność może prowadzić do awarii systemu lub potencjalnie do eskalacji uprawnień.
Podatność w aplikacji UniFi Access umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej walidacji danych wejściowych.
Podatność SQL Injection w aplikacji UniFi Talk umożliwia uwierzytelnionemu atakującemu z dostępem sieciowym i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta.
Podatność w aplikacji UniFi Connect umożliwia atakującemu z dostępem do sieci wykonanie wstrzyknięcia poleceń na urządzeniu hosta z powodu nieprawidłowej kontroli dostępu.
Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wynika z nieprawidłowej walidacji danych. Lokalny atakujący może eskalować uprawnienia do SYSTEM i wykonać dowolny kod w trybie jądra poprzez spreparowane wiadomości wysłane przez port komunikacyjny Minifilter.
Podatność w sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC umożliwia lokalnemu atakującemu dostęp do uprzywilejowanych funkcji sterownika poprzez port komunikacyjny Minifilter, który nie ma odpowiednich ograniczeń dostępu.
W sterowniku `GFAC_Sys_x64.sys` firmy Little Orbit GFAC wykryto podatność polegającą na dereferencji wskaźnika NULL. Lokalny atakujący może wykorzystać spreparowane żądania, powodując awarię systemu i odmowę usługi (DoS).
Brak uwierzytelniania dla krytycznej funkcji w WAF-ASP firmy TR7 Cyber Defense Inc. umożliwia nadużycie uwierzytelniania. Podatność dotyczy wersji od v1.0.324.900 do v1.4.0.117.
Wtyczka Divi Form Builder dla WordPressa do wersji 5.1.8 zawiera podatność na dowolne przesyłanie plików, prowadzącą do zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji rozszerzeń plików w funkcji do_image_upload(), gdzie parametr acceptFileTypes jest bezpośrednio wstawiany do wyrażenia regularnego. Atakujący może przesłać pliki z rozszerzeniami .phtml, .phar, .php5 lub .php7, omijając ochronę .htaccess blokującą tylko pliki .php.
PraisonAI przed wersją 0.1.7 nie weryfikuje, czy identyfikator projektu (project_id) w żądaniach tworzenia i aktualizacji zgłoszeń należy do obszaru roboczego (workspace) wskazanego w URL. Atakujący może tworzyć zgłoszenia odnoszące się do projektów z innych obszarów roboczych, powodując zanieczyszczenie danych między dzierżawcami w agregacji statystyk projektów bez ograniczeń obszaru roboczego.
Podatność w luci-app-travelmate i pakiecie travelmate umożliwia eskalację uprawnień. Posiadacz sesji z uprawnieniami do zapisu UCI może ustawić dowolny skrypt i argumenty, które zostaną wykonane jako root przez usługę travelmate. Ograniczenie interfejsu do katalogu /etc/travelmate/*.login jest tylko frontendowe.
W produkcie WAF-ASP firmy TR7 Cyber Defense Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania strony internetowej. Problem dotyczy wersji od v1.0.324.900 do v1.4.0.117.
W Web Application Firewall firmy TR7 Cyber Defense Inc. wykryto podatność na atak typu DOM-Based XSS, wynikającą z nieprawidłowej neutralizacji danych wejściowych podczas generowania strony. Problem dotyczy wersji od 1.0.42.239 do 1.4.0.117.

