Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność typu Cross-Site Request Forgery (CSRF) w wtyczce Awesome Logos umożliwia wykonanie ataku SQL Injection. Problem dotyczy wersji Awesome Logos od n/a do 1.2 włącznie.
Kcp to kontroler podobny do Kubernetes, który obsługuje różne formy i przypadki użycia. Przed wersją 0.26.3 istniała podatność, która pozwalała na tworzenie lub usuwanie obiektów za pomocą APIExport VirtualWorkspace w dowolnej przestrzeni roboczej dla istniejących zasobów, co powinno być dozwolone tylko po przyznaniu dostępu przez właściciela przestrzeni roboczej.
W podatności CVE-2025-2311 w oprogramowaniu SecHard przed wersją 3.3.0.20220411 występuje nieprawidłowe użycie uprzywilejowanych interfejsów API, co prowadzi do możliwości ominięcia uwierzytelnienia, manipulacji interfejsem oraz nadużycia uwierzytelnienia. Dodatkowo, dane wrażliwe są przesyłane w postaci niezaszyfrowanej, co zwiększa ryzyko wycieku informacji.
Zidentyfikowano podatność na zdalne wykonanie kodu (RCE) w klasie Kedro ShelveStore (wersja 0.19.8). Umożliwia ona atakującemu wykonanie dowolnego kodu Python poprzez deserializację złośliwych ładunków, co może prowadzić do pełnego kompromitacji systemu.
W BentoML w wersjach <=1.3.4.post1 występuje podatność na deserializację w serwerze runner. Atakujący może wykonać nieautoryzowany kod na serwerze, co może prowadzić do poważnych szkód.
Podatność w klasie RpcAgentServerLauncher w modelscope/agentscope v0.0.6a3 umożliwia zdalne wykonanie kodu (RCE) poprzez deserializację nieufnych danych przy użyciu biblioteki dill. Problem występuje w metodzie AgentServerServicer.create_agent, gdzie zserializowane dane są deserializowane za pomocą dill.loads, co pozwala atakującemu na wykonanie dowolnych poleceń na serwerze.
W ZulipConnector w projekcie danswer-ai/danswer występuje podatność na nadpisywanie dowolnych plików, która dotyczy najnowszej wersji. Problem wynika z metody load_credentials, w której dane wejściowe kontrolowane przez użytkownika są używane do konstruowania ścieżek plików i zapisywania zawartości plików.
W stitionai/devika występuje podatność na traversowanie ścieżek, szczególnie w funkcjonalności tworzenia projektów. W dotkniętej wersji beacf6edaa205a5a5370525407a6db45137873b3, nazwa projektu nie jest walidowana, co pozwala atakującemu na stworzenie projektu z odpowiednio skonstruowaną nazwą, która przemieszcza się po katalogach.
W wersji v3.3.0 open-mmlab/mmdetection występuje podatność na zdalne wykonanie kodu. Problem wynika z użycia funkcji `pickle.loads()` w API do rozproszonego treningu `all_reduce_dict()`, które nie zapewnia odpowiedniej sanitizacji.
W wersjach 5.3.1 do 5.4.2 biblioteki invoke-ai/invokeai występuje podatność na zdalne wykonanie kodu poprzez API /api/v2/models/install. Problem wynika z niebezpiecznej deserializacji plików modeli przy użyciu torch.load bez odpowiedniej walidacji.
W wersji v5.0.2 invoke-ai/invokeai, interfejs API webowy `POST /api/v1/images/delete` jest podatny na usuwanie dowolnych plików. Ta podatność pozwala nieautoryzowanym atakującym na usunięcie dowolnych plików na serwerze, w tym krytycznych lub wrażliwych plików systemowych.
Podatność na deserializację niezaufanych danych w Apache Seata (w fazie inkubacji) dotyczy wersji od 2.0.0 do przed 2.2.0. Problem ten jest ściśle związany z trybem klastra Raft, który jest opcjonalną i nie domyślną funkcją.
Wtyczka Age Gate dla WordPressa jest podatna na lokalne włączenie plików PHP we wszystkich wersjach do i włącznie z 3.5.3 za pomocą parametru 'lang'. Umożliwia to nieautoryzowanym atakującym włączenie i wykonanie dowolnych plików PHP na serwerze.
Podatność CVE-2024-12016 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w systemie CM News w wersjach do 6.0.
Problem w wersjach Termius od 9.9.0 do 9.16.0 umożliwia atakującemu znajdującemu się w bliskiej odległości wykonanie dowolnego kodu poprzez niebezpieczną konfigurację Electron Fuses.
Wtyczka File Away dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji upload() we wszystkich wersjach do 3.9.9.0.1. To umożliwia nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej witryny.
Wtyczka Service Finder Bookings dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 5.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed automatycznym logowaniem po rezerwacji oraz aktualizacją szczegółów profilu.
Motyw MinimogWP dla WordPressa jest podatny na lokalne włączenie plików we wszystkich wersjach do 3.7.0 włącznie, poprzez parametr 'template'. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików na serwerze.
Wtyczki CozyStay i TinySalt dla WordPressa są podatne na wstrzyknięcie obiektu PHP we wszystkich wersjach do i włącznie 1.7.0 oraz 3.9.0, poprzez deserializację niezaufanego wejścia w funkcji 'ajax_handler'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Motyw Altair dla WordPressa jest podatny na nieautoryzowaną modyfikację danych, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w pliku functions.php we wszystkich wersjach do 5.2.4 włącznie. Umożliwia to nieautoryzowanym atakującym aktualizację dowolnych opcji na stronie WordPress.

