Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
FUXA w wersjach 1.3.1 i wcześniejszych zawiera podatność na ominięcie uwierzytelniania poprzez normalizację ścieżek z segmentami kropkowymi w REST API. Router API nie normalizuje sekwencji segmentów kropek przed zastosowaniem middleware uwierzytelniającego, co pozwala nieuwierzytelnionym żądaniom na dostęp do chronionych punktów końcowych poprzez poprzedzenie ścieżek segmentami kropkowymi, takimi jak /api/./users, /api/./roles i /api/project/../users. Żądania te omijają kontrole uwierzytelniania i zwracają wrażliwe dane użytkowników i ról bez poświadczeń.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na atak typu cross-site scripting (XSS) w konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do interfejsu zarządzania serwerem.
Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszycie się pod innego użytkownika systemu.
IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera podatność w silniku języka zapytań OQL, który bez listy dozwolonych klas rozwiązuje nazwy klas dostarczone przez atakującego za pomocą Class.forName() i wywołuje ich konstruktory w trzech różnych miejscach (SELECT NEW, literały enum oraz komparatory oparte na refleksji). Uwierzytelniony zdalny atakujący, który może wpłynąć na tworzone przez aplikację zapytanie OQL, może wykonać dowolne konstruktory na JVM WAS, a wariant SELECT DISTINCT wykorzystujący spreparowane wartości gridowe uruchamia ten sam gadżet po deserializacji w sposób omijający filtry serializacji JEP-290 na granicach węzłów gridu.
IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera trzy podklasy ObjectInputStream (WsObjectInputStream, ObjectStreamPool$ReusableInputStream, ObjectInputStreamResolver), które nie instalują filtra klas JEP-290. Gdy Coherence znajduje się na ścieżce klas, potwierdzono działanie wielu łańcuchów gadżetów RCE, w tym RemoteConstructor.readResolve i PriorityQueue/ExtractorComparator, umożliwiając atakującemu po zalogowaniu (poprzez zapis atrybutu sesji) lub atakującemu w sąsiedztwie sieci LAN (poprzez przewód replikacji siatki) wykonanie dowolnego kodu na innych JVM WAS.
IBM Business Automation Manager Open Editions w wersjach od 9.0.0 do 9.4.2 jest podatny na atak XML External Entity Injection (XXE) podczas przetwarzania danych XML. Zdalny atakujący może wykorzystać tę podatność do ujawnienia poufnych informacji lub wyczerpania zasobów pamięci.
IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.6 zawiera podatność umożliwiającą odczyt dowolnych plików, gdy włączona jest funkcja restConnector-2.0.
IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w przypadku włączenia funkcji apiDiscovery-1.0. Atakujący może wykorzystać tę lukę do wysyłania nieautoryzowanych żądań z serwera do wewnętrznych zasobów sieciowych.
IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 z włączoną funkcją adminCenter-1.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF).
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Komponenty RSSReaderComponent i SearXNG wykonują niezweryfikowane żądania HTTP do adresów URL kontrolowanych przez użytkownika, omijając zabezpieczenia SSRF wprowadzone w wersji 1.9.3.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera brak uwierzytelniania w endpointach /api/v1/build_public_tmp/, co pozwala nieuwierzytelnionemu atakującemu na odczyt danych zdarzeń budowania lub anulowanie zadań przy użyciu prawidłowego identyfikatora zadania, prowadząc do ujawnienia informacji i odmowy usługi.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie URL, spowodowaną warunkiem wyścigu TOCTOU, który może być wykorzystany przez ponowne wiązanie DNS.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na obejście ochrony przed fałszowaniem żądań po stronie serwera (SSRF) w komponencie API Request. Uwierzytelniony atakujący z niskimi uprawnieniami (rola autora przepływu) może ominąć zabezpieczenia SSRF, włączając parametr follow_redirects i podając publiczny URL przekierowujący na adresy wewnętrzne/localhost. Podatność wynika z faktu, że aplikacja weryfikuje tylko początkowy URL, ale nie ponownie weryfikuje miejsc docelowych przekierowań.
Wtyczka Webmention dla WordPressa do wersji 5.8.0 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez metadane autora 'avatar' i 'url' pochodzące z parsera. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla właściwości MF2 autora, które są przetwarzane przez niezautoryzowany endpoint REST Webmention i renderowane bezpośrednio w atrybutach 'value' HTML w szablonie edycji komentarza.
Aplikacja HP Fan Control może umożliwiać lokalną eskalację uprawnień. Luka wynika z nieprawidłowej kontroli dostępu w oprogramowaniu do zarządzania wentylatorami firmy HP.
Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a endpoint listy zwraca sekretne klucze w postaci jawnego tekstu.
W Dolibarr do wersji 23.0.3 (załatanym w commicie 14db36e) wykryto podatność na iniekcję SQL. Uwierzytelnieni użytkownicy API mogą wyodrębnić dowolne dane z bazy, podając złośliwe wartości w parametrze sqlfilters w endpointach REST API dla słowników i walut wielowalutowych.
JimuReport do wersji 2.5.0 udostępnia endpoint POST /jmreport/auto/export bez wymaganego uwierzytelnienia. Adnotacja @JimuNoLoginRequired powoduje pominięcie wszystkich kontroli dostępu, a usługa eksportu strumieniuje raport dla dowolnego identyfikatora bez weryfikacji flagi konfiguracyjnej auto-eksportu. Nieuwierzytelniony atakujący może enumerować identyfikatory raportów Snowflake i wyeksportować pełną zawartość dowolnego raportu, w tym dane z zapytań SQL oraz poświadczenia osadzone w źródłach danych.
SeaweedFS przed wersją 4.34 zawiera podatność na przechodzenie po ścieżkach w handlerze DeleteMultipleObjectsHandler bramy S3. Uwierzytelniony podmiot S3 z prawem zapisu do jednego zasobnika może usunąć dowolne obiekty w zasobnikach innych dzierżawców, podając klucze obiektów zawierające sekwencje ../ w treści żądania XML DeleteObjects.
Podatność w Woodpecker przed wersją 3.15.0 pozwala na ominięcie listy ApprovalAllowedUsers poprzez manipulację polem pipeline.Author. Dla integracji z GitLab, autor zatwierdzenia (commit author) jest pobierany z danych webhooka, które mogą być kontrolowane przez atakującego. Użytkownik otwierający merge request z forka może ustawić nazwę autora tak, aby pasowała do wpisu na liście ApprovalAllowedUsers, co powoduje, że pipeline uruchamia się bez wymaganej zgody.

