Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Vvveb przed wersją 1.0.8.3 zawiera podatność na trwałe cross-site scripting (XSS) w procesie rejestracji klienta. Kontroler Signup::addUser() kopiuje surowe wartości pola username z żądania POST do pola display_name przed sanityzacją, co pozwala atakującym na wstrzyknięcie kodu HTML i JavaScript.
Verba jest podatna na atak typu Stored Cross-Site Scripting (XSS) w mechanizmie logowania. Nieautoryzowany atakujący może wprowadzić złośliwy ładunek XSS w polu nazwy użytkownika, który zostanie zapisany w logach aplikacji.
W procesie uwierzytelniania PostgreSQL wykryto ukryty kanał czasowy przy porównywaniu haseł haszowanych algorytmem MD5. Umożliwia on atakującemu odzyskanie danych uwierzytelniających wystarczających do zalogowania. Podatność nie dotyczy domyślnego schematu scram-sha-256, ale bazy danych mogą zawierać stare hasła MD5 pochodzące z aktualizacji z wersji 13 lub wcześniejszych.
Podinfo do wersji 6.11.2 zawiera odbitą podatność XSS w endpointach /echo i /api/echo. Funkcja echoHandler zapisuje treść żądania bezpośrednio w odpowiedzi bez ustawienia nagłówków Content-Type lub X-Content-Type-Options, co pozwala atakującym na wykonanie skryptów w kontekście pochodzenia podinfo.
W OpenStack Ironic w wersjach do 35.x przed a3f6d73, podczas obsługi obrazów, może wystąpić nieskończona pętla w obliczeniach sum kontrolnych za pomocą adresu URL file:///dev/zero.
Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().
Quark Drive przed wersją 0.8.5 zawiera podatność na trwały atak XSS na stronie konfiguracji systemu. Szablon renderuje nazwy kluczy push_config za pomocą dyrektywy v-html bez odpowiedniego kodowania, co pozwala uwierzytelnionym atakującym na wstrzyknięcie złośliwego HTML lub JavaScript przez endpoint POST /update. Wstrzyknięty kod jest zapisywany na dysku i wykonywany w przeglądarkach wszystkich uwierzytelnionych użytkowników odwiedzających zakładkę konfiguracji systemu.
W MISP, przed wersją 2.5.37, występowała podatność na wstrzykiwanie SQL w obsłudze parametrów sortowania kontrolowanych przez użytkownika w punktach końcowych listowania zdarzeń i atrybutów. Atakujący mógł wykorzystać złośliwy parametr sortowania do manipulacji generowanym zapytaniem SQL.
MISP to otwartoźródłowa platforma do inteligencji zagrożeń i ich udostępniania. W wersjach przed 2.5.37, MISP Collections nie wymuszał walidacji UUID zgodnie z RFC 4122, co pozwalało na wprowadzenie niepoprawnych wartości UUID przez użytkowników, co mogło prowadzić do problemów z integralnością danych.
CubeCart to rozwiązanie oprogramowania e-commerce. Przed wersją 6.7.0 występuje podatność na Reflected XSS w funkcji wyszukiwania, która pozwala na odzwierciedlenie nieautoryzowanego wejścia użytkownika bez sanitizacji, gdy wyszukiwanie zwraca dokładnie jeden produkt.
Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.
Po odwołaniu dostępu użytkownika do mintowania tokenów dla konta serwisowego, w niektórych przypadkach nadal możliwe jest to przez kilka sekund. Użytkownik ostatecznie straci dostęp do tej funkcji.
Podatność w SQL Expressions umożliwia uwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików serwera Grafana. Dotyczy to tylko instancji z włączoną funkcją sqlExpressions.
Wykorzystanie makra $__timeGroup może prowadzić do przepełnienia pamięci (OOM) poprzez przeciążenie serwera. Wymaga to źródła danych SQL, a jeśli serwer jest skonfigurowany do automatycznego ponownego uruchamiania, wpływ ataku jest minimalny lub nieistniejący.
Podatność w wtyczce Grafana umożliwia nieograniczone przydzielanie pamięci poprzez odczyt całego ciała żądania do pamięci. Użytkownik z odpowiednimi uprawnieniami może wykorzystać tę lukę, aby wywołać stan braku pamięci, co może prowadzić do odmowy usługi.
Każdy edytor mógł usunąć dowolny zrzut, nawet jeśli nie miał dostępu do jego odczytu lub zapisu.
W Grafana Live występuje warunkowa rywalizacja, która pozwala uwierzytelnionym użytkownikom z rolą Viewer na wywołanie awarii serwera poprzez wysyłanie równoczesnych żądań, co prowadzi do krytycznego błędu dostępu do mapy. Skutkuje to całkowitą niedostępnością usługi, wymagającą ponownego uruchomienia serwera Grafana.
Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.
Edytorzy mogli usuwać dowolne adnotacje, nawet te, do których nie mają dostępu do odczytu. Użytkownik edytora nie może tworzyć ani odczytywać adnotacji.
Podatność DoS w urządzeniach Palo Alto Networks Prisma SD-WAN ION pozwala nieuwierzytelnionemu atakującemu w sąsiedztwie sieciowym na spowodowanie przerwania działania systemu poprzez wysłanie specjalnie spreparowanego pakietu IPv6.

