Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie URL, spowodowaną warunkiem wyścigu TOCTOU, który może być wykorzystany przez ponowne wiązanie DNS.
IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera krytyczną podatność, która pozwala atakującemu na odczyt wszystkich sekretów dostępnych dla procesu Langflow, odczyt i modyfikację wszystkich przepływów, konwersacji, wiadomości, przesłanych plików oraz zapisanych komponentów w bazie danych Langflow. Atakujący może również łączyć się z wewnętrznymi usługami, nadużywać punktów końcowych metadanych chmury, przemieszczać się lateralnie do innych dzierżawców w tej samej instancji Langflow oraz utrwalić dostęp poprzez modyfikację `tool_code` publicznego przepływu, co powoduje ponowne wykonanie kodu atakującego przy każdym wywołaniu `/api/v1/build/...` przez dowolnego użytkownika.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na obejście ochrony przed fałszowaniem żądań po stronie serwera (SSRF) w komponencie API Request. Uwierzytelniony atakujący z niskimi uprawnieniami (rola autora przepływu) może ominąć zabezpieczenia SSRF, włączając parametr follow_redirects i podając publiczny URL przekierowujący na adresy wewnętrzne/localhost. Podatność wynika z faktu, że aplikacja weryfikuje tylko początkowy URL, ale nie ponownie weryfikuje miejsc docelowych przekierowań.
IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowej obsługi uzgadniania DRDA przed uwierzytelnieniem.
Podatność w IBM Db2 umożliwia uwierzytelnionemu użytkownikowi odczyt wrażliwych informacji z tabel monitorowania i zdarzeń. Dotyczy wersji 11.5.0-11.5.9 oraz 12.1.0-12.1.4 na systemach Linux, UNIX i Windows.
Orkes Conductor w wersjach od 3.21.21 do 3.30.2 zawiera nieuwierzytelnioną podatność na zdalne wykonanie kodu. Atakujący może wysłać złośliwą definicję przepływu pracy z wyrażeniami JavaScript lub Python do API przed uwierzytelnieniem, co pozwala na wykonanie dowolnych poleceń systemowych.
Wtyczka Webmention dla WordPressa do wersji 5.8.0 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez metadane autora 'avatar' i 'url' pochodzące z parsera. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla właściwości MF2 autora, które są przetwarzane przez niezautoryzowany endpoint REST Webmention i renderowane bezpośrednio w atrybutach 'value' HTML w szablonie edycji komentarza.
Podatność w warstwie adaptacyjnej ISO stosu Bluetooth Zephyra (isoal.c) pozwala zdalnemu atakującemu na odczyt poza zakresem przez nieprawidłową walidację długości segmentu startowego ramki ISO PDU. Brak sprawdzenia, czy długość segmentu wynosi co najmniej 3 bajty, prowadzi do niedomiaru przy odejmowaniu i kopiowania do 255 bajtów pamięci kontrolera poza odebranym PDU do pakietu HCI ISO.
Aplikacja HP Fan Control może umożliwiać lokalną eskalację uprawnień. Luka wynika z nieprawidłowej kontroli dostępu w oprogramowaniu do zarządzania wentylatorami firmy HP.
Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a punkt końcowy listy zwraca sekretne klucze w postaci jawnego tekstu.
W Dolibarr do wersji 23.0.3 (załatanym w commicie 14db36e) wykryto podatność na iniekcję SQL. Uwierzytelnieni użytkownicy API mogą wyodrębnić dowolne dane z bazy, podając złośliwe wartości w parametrze sqlfilters w endpointach REST API dla słowników i walut wielowalutowych.
JimuReport w wersji do 2.5.0 udostępnia endpoint POST /jmreport/auto/export bez wymaganego uwierzytelnienia. Adnotacja @JimuNoLoginRequired powoduje pominięcie wszystkich kontroli dostępu, a usługa eksportu strumieniuje raport dla dowolnego identyfikatora bez weryfikacji flagi konfiguracji automatycznego eksportu. Nieuwierzytelniony atakujący może enumerować identyfikatory raportów Snowflake i wyeksportować pełną zawartość dowolnego raportu, w tym dane z zapytań SQL oraz poświadczenia osadzone w źródłach danych.
Podatność w CVAT przed wersją 2.69.0 w klasie QualityReportViewSet.get_queryset pozwala uwierzytelnionym atakującym na enumerację identyfikatorów raportów jakości należących do innych organizacji. Brak wywołania check_object_permissions na parametrze parent_id w API raportów jakości umożliwia rozróżnienie istniejących i nieistniejących raportów na podstawie odpowiedzi HTTP 500 vs 404.
SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego bucketa może usunąć dowolne obiekty w innych bucketach, podając klucze obiektów z sekwencją ../ w żądaniu XML DeleteObjects.
Podatność w SeaweedFS przed wersją 4.30 polega na braku walidacji parametru callback w funkcji writeJson, co pozwala na odbicie go w odpowiedziach JavaScript. Brak nagłówka X-Content-Type-Options: nosniff oraz listy dozwolonych CORS umożliwia ataki typu cross-origin na niezabezpieczonych punktach końcowych.
Podatność w Woodpecker przed wersją 3.15.0 pozwala na obejście listy ApprovalAllowedUsers poprzez manipulację polem pipeline.Author. Dla integracji z GitLab, autor potoku jest pobierany z nazwy autora commita (commit.author.name) w webhooku, która jest kontrolowana przez atakującego i nie jest weryfikowana przez GitLab. Użytkownik otwierający merge request z forka może ustawić nazwę autora commita tak, aby pasowała do wpisu na liście ApprovalAllowedUsers, co powoduje, że needsApproval zwraca false i potok uruchamia się bez wymaganej zgody.
Woodpecker przed wersją 3.15.0 udostępnia endpoint /api/orgs/lookup/*org_full_name bez uwierzytelniania, a procedura obsługi LookupOrg bezwzględnie wyłuskuje użytkownika sesji (user.ForgeID przez ForgeFromUser) przy wyborze forga do zapytania. Dla nieuwierzytelnionego żądania session.User zwraca nil, co powoduje wyłuskanie wskaźnika NULL i panikę. Panika jest przechwytywana przez middleware gin recovery, a serwer kontynuuje działanie (zwracając HTTP 500), ale każde żądanie zapisuje wieloliniowy ślad paniki do dziennika błędów.
W systemie RuoYi-Vue-Plus do wersji 5.6.2 (poprawione w commicie 88d03d9) endpointy zarządzania zadaniami przepływu pracy w kontrolerze FlwTaskController nie mają żadnej kontroli uprawnień. Każdy uwierzytelniony użytkownik, niezależnie od roli, może zmieniać przypisanie zadań, przyspieszać je oraz przeglądać wszystkie oczekujące i zakończone zadania.
Podatność w Hermes WebUI przed wersją 0.51.521 pozwala na ominięcie izolacji profili. Podczas importowania sesji przez endpoint /api/session/import, obiekt sesji jest tworzony bez ustawienia profilu, co powoduje, że importowana sesja ma profil null. Ponieważ profil null jest traktowany jako domyślny, użytkownik na profilu domyślnym może wyeksportować transkrypt sesji i użyć jej identyfikatora do odczytu plików z przestrzeni roboczej nazwanego profilu.

