Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Biblioteka rozszerzeń nawiasów generuje dowolne ciągi zawierające wspólny prefiks i sufiks. W wersjach od 5.0.0 do przed 5.0.6 opcja max była stosowana zbyt późno, co prowadziło do generowania wszystkich elementów w dużym zakresie numerycznym przed nałożeniem limitu.
Podatność w NanoMQ MQTT Broker przed wersją 0.24.14 polega na błędnym przechowywaniu danych prov_data, co prowadzi do nieprawidłowej interpretacji obiektów. To zjawisko może powodować zawieszanie się lub awarię podczas zamykania połączenia.
FastGPT to platforma do budowania agentów AI. W wersjach przed 4.15.0-beta1, worker sandboxu JavaScript blokuje dynamiczne importy, jednak istnieje sposób na obejście tego zabezpieczenia, co pozwala na wykonanie dowolnych poleceń w kontenerze sandboxa.
Dekodowanie pliku BMP z paletą, który zawiera indeks palety poza zakresem, prowadzi do paniki podczas próby dostępu do pikseli w nieprawidłowym obrazie.
Zidentyfikowano podatność typu XSS (cross-site scripting) w interfejsie zarządzania webowego przełącznika TP-Link TL-SG108PE v5, spowodowaną niewłaściwą sanitacją parametru konfiguracji SYSNAM podczas importu pliku konfiguracyjnego. Atakujący z dostępem administratora może wstrzyknąć złośliwy skrypt do konfiguracji urządzenia, który może być przechowywany i wykonywany w przeglądarce administratora.
W JetBrains YouTrack przed wersją 2026.1.13570 wystąpił problem z niewłaściwą kontrolą dostępu, który umożliwiał enumerację zastrzeżonych problemów i artykułów na Planning Canvas.
W JetBrains YouTrack przed wersją 2026.1.13570 wystąpił problem z niewłaściwą kontrolą dostępu, który umożliwiał użytkownikom o niskich uprawnieniach modyfikację kont serwisowych.
W wersjach JetBrains PyCharm przed 2025.3.4 istniała możliwość przeprowadzenia ataku typu stored XSS w komórkach Markdown notatników Jupyter.
W wersjach JetBrains IntelliJ IDEA przed 2026.1 istniała możliwość wykonania kodu poprzez wstrzyknięcie szablonu w wtyczce Copyright.
W wersjach JetBrains TeamCity przed 2026.1 dane uwierzytelniające mogły być ujawniane w nazwach wątków. To może prowadzić do nieautoryzowanego dostępu do systemu.
W wersjach JetBrains TeamCity przed 2026.1 parametry poświadczeń były ujawniane poprzez autouzupełnianie parametrów. To może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.
W wersjach JetBrains TeamCity przed 2025.11.2 występuje podatność, która pozwala na ujawnienie wrażliwych danych poprzez domyślne parametry agenta.
W JetBrains TeamCity przed wersją 2026.1 występuje niewystarczająca walidacja nazw użytkowników w wtyczce SAML. Może to prowadzić do nieautoryzowanego dostępu lub manipulacji danymi użytkowników.
W wersjach JetBrains TeamCity przed 2026.1 oraz 2025.11.5 istniała możliwość wystąpienia refleksyjnego ataku XSS na stronie pobierania repozytoriów.
W JetBrains YouTrack przed wersją 2026.1.13162 istniała możliwość ujawnienia informacji na stronach Użytkowników i Grup.
W wersjach przed 2.8.0 panelu administracyjnego Shopper, tabele administracyjne dla metod płatności, walut i przewoźników ujawniały przełączniki inline oraz akcje per rekord (włącz, wyłącz, edytuj, usuń) dla każdego uwierzytelnionego użytkownika panelu, bez sprawdzania odpowiednich uprawnień. Użytkownik o niskich uprawnieniach mógł wyłączyć wszystkie metody płatności, zmienić domyślną walutę lub wyłączyć przewoźników.
Podatność w Shopper, przed wersją 2.8.0, dotyczy komponentów Livewire w edytorze produktów, które nie miały odpowiednich uprawnień w metodzie store(). Użytkownicy panelu mogli modyfikować ceny, stany magazynowe, metadane SEO, wymiary wysyłki oraz załączone media dowolnego produktu bez wymaganej roli edit_products.
Podatność w Shopper, przed wersją 2.8.0, polegała na tym, że akcja CreateOrderFromCartAction::execute tworzyła rekord zamówienia przed sprawdzeniem i zwiększeniem licznika użycia zniżki. W warunkach dużego obciążenia, takich jak Black Friday, limit użycia zniżki mógł zostać przekroczony, co skutkowało zastosowaniem zniżki mimo osiągnięcia limitu.
W bibliotece liboqs, przed wersją 0.16.0, zidentyfikowano błąd odczytu poza zakresem w kodzie weryfikacji podpisów XMSS i XMSS^MT. Problem występuje, gdy funkcja weryfikacji jest wywoływana z poprawnie wymiarowanym buforem podpisu, ale z kluczem publicznym, który odnosi się do innego zestawu parametrów XMSS z większym sig_bytes.
SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, corsProxyMiddleware przekazywał req.params.url bezpośrednio do fetch(url, ...), co umożliwiało ataki typu SSRF.

