Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Niespójność w dopasowywaniu nazw hostów w Node.js może prowadzić do obejścia polityki zaufania w konfiguracjach mTLS z wieloma kontekstami. Podatność dotyczy wszystkich wspieranych linii wydań: Node.js 22, Node.js 24 oraz Node.js 26.
Błąd w obsłudze nazw hostów TLS w Node.js powoduje, że obsługa separatora kropek Unicode może prowadzić do obejścia uwierzytelniania dla symboli wieloznacznych (wildcard) w certyfikatach TLS z powodu niezgodności normalizacji nazw hostów między resolverem a weryfikatorem.
Wtyczka Groundhogg dla WordPressa (wersje do 4.5.4 włącznie) zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'after'. Uwierzytelnieni atakujący z dostępem na poziomie Sales Managera lub wyższym mogą dołączać dodatkowe zapytania SQL do istniejących, co umożliwia wyodrębnienie wrażliwych danych z bazy. Dodatkowo, procedura AJAX wp_ajax_groundhogg_get_contacts_table ma wyłączoną kontrolę uprawnień i nie weryfikuje nonce, przez co każdy uwierzytelniony użytkownik może dotrzeć do podatnego kodu.
Aplikacja Setracker2 Android Companion App (com.tgelec.setracker) w wersjach 3.1.5 i starszych generuje przewidywalny identyfikator rejestracji na podstawie numeru IMEI. System rejestracji nie wymaga dodatkowego uwierzytelnienia przed przypisaniem identyfikatora, co umożliwia atakującemu, po uzyskaniu tego identyfikatora, dowolne przypisywanie zegarków należących do innych użytkowników.
Podatność w systemie FOSSBilling (wersje 0.5.4 do 0.7.2) umożliwia nieuwierzytelnionemu atakującemu zdalne wywołanie endpointu /run-patcher, który wykonuje krytyczne operacje konserwacyjne, takie jak modyfikacja plików konfiguracyjnych, zmiany schematu bazy danych, operacje na systemie plików oraz czyszczenie pamięci podręcznej. Brak wymaganego uwierzytelnienia i walidacji CSRF pozwala na przeprowadzenie ataku typu DoS poprzez wysłanie prostego żądania HTTP GET.
W generatorze raportów Pen Drive stwierdzono lukę polegającą na braku odpowiedniego kodowania lub sanityzacji danych pochodzących z klastra podczas generowania raportów HTML. Atakujący z uprawnieniami administratora klastra może wstrzyknąć trwały ładunek XSS do obiektów klastra, który wykona się w przeglądarce każdego użytkownika otwierającego wygenerowany raport.
W Apicurio Registry wykryto podatność polegającą na tym, że DocumentBuilderAccessor blokuje zewnętrzne DTD i schematy, ale nie wyłącza deklaracji DOCTYPE ani nie włącza FEATURE_SECURE_PROCESSING. Osoba atakująca z uprawnieniami do zapisu artefaktów może przesłać dokumenty XML z ładunkami wewnętrznej ekspansji encji (wariant billion-laughs), co prowadzi do wyczerpania CPU i pamięci, częściowo ograniczone przez domyślny limit 64 000 ekspansji encji w JAXP.
W Cacti w wersjach 1.2.30 i wcześniejszych wykryto obejście walidacji podpisu podczas importu pakietów, co umożliwia instalowanie pakietów podpisanych własnoręcznie. Luka została naprawiona w wersji 1.2.31.
Cacti w wersjach 1.2.30 i wcześniejszych zawiera podatność na ścieżkę (Path Traversal) przez parametr format_file w raporcie, umożliwiającą odczyt dowolnych plików. Podatność składa się z dwóch etapów: wstrzyknięcie do bazy danych bez walidacji, a następnie odczyt pliku z użyciem niesprawdzonej ścieżki.
Cacti w wersjach 1.2.30 i wcześniejszych nie wywołuje funkcji session_regenerate_id() po pomyślnym logowaniu, co umożliwia atak typu Session Fixation. Atakujący może narzucić użytkownikowi sesję, a po zalogowaniu ofiary przejąć jej konto.
Cacti w wersjach 1.2.30 i wcześniejszych jest podatny na otwarte przekierowanie (Open Redirect) z powodu użycia funkcji str_contains() do sprawdzania referera zamiast pełnej walidacji hosta. Atakujący może wykorzystać spreparowany nagłówek Referer, aby po zalogowaniu użytkownika przekierować go na złośliwą stronę.
Podatność w implementacji ML-KEM na architekturze ARM64 z wykorzystaniem NEON powoduje, że porównanie szyfrogramów w stałym czasie uwzględnia tylko połowę danych wejściowych. To narusza mechanizm niejawnego odrzucania transformaty Fujisaki-Okamato i osłabia bezpieczeństwo IND-CCA2 na tej ścieżce kodu.
Podatność w weryfikacji MAC PKCS#12 polega na użyciu długości porównania kontrolowanej przez atakującego, co osłabia integralność MAC i pozwala na zaakceptowanie niezgodnego MAC. Ścieżka weryfikacji PKCS#12 porównuje lokalnie obliczony HMAC z MAC odczytanym ze struktury PKCS#12, używając długości pochodzącej bezpośrednio z danych wejściowych atakującego, bez uprzedniego sprawdzenia, czy jest ona równa długości skrótu faktycznie generowanego przez skonfigurowany algorytm. W rezultacie może zostać zaakceptowany skrócony lub zerowej długości MAC, co niweczy ochronę integralności zapewnianą przez MAC.
Podatność w implementacji protokołu TLS/DTLS, gdzie przy włączonej opcji HAVE_ENCRYPT_THEN_MAC system może nieprawidłowo używać starszej metody MAC-then-Encrypt zamiast wymaganej Encrypt-then-MAC.
Podatność w TLS 1.3 dotyczy uwierzytelniania po uzgodnieniu kluczy (PHA), gdzie serwer mógł zaakceptować komunikat Finished od klienta bez wymagania certyfikatu i weryfikacji CertificateVerify. Problem wynikał z błędnego zastosowania wyjątku dla pustego certyfikatu, który był przeznaczony tylko dla początkowego uzgadniania, ale był stosowany również podczas oczekiwania na certyfikat po uzgodnieniu kluczy.
Identyfikatory uwierzytelniające stacji ładowania są publicznie dostępne za pośrednictwem internetowych platform mapowych.
Podatność Use-After-Free w komponencie Payments w przeglądarce Google Chrome na system Android przed wersją 149.0.7827.201 umożliwiała lokalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez fizyczny dostęp do urządzenia.
Podatność w funkcji wolfSSL_OCSP_resp_find_status biblioteki wolfSSL powoduje, że porównanie numerów seryjnych certyfikatów w odpowiedziach OCSP nie wymaga równej długości. Pozwala to na błędne dopasowanie odpowiedzi dla certyfikatu, którego numer seryjny jest prefiksem numeru seryjnego docelowego certyfikatu, co skutkuje zwróceniem nieprawidłowego statusu unieważnienia.
Grav przed wersją 1.6.30 zawiera podatność na atak typu cross-site scripting w domyślnej konfiguracji bezpieczeństwa edytora stron wtyczki Admin. Uprzywilejowani użytkownicy z możliwością edycji stron mogą wstrzykiwać złośliwe skrypty, co pozwala na wykonanie dowolnego kodu i instalację złośliwych wtyczek w celu uzyskania dostępu do systemu.
W ścieżce dekodowania PKCS#7 w bibliotece wolfSSL pomijany jest rozmiar bufora wyjściowego przekazany przez wywołującego (outputSz), co pozwala na zapis zdekodowanej treści poza granice dostarczonego bufora. Podatność dotyczy wolfSSL w wersji 5.9.0 i wcześniejszych, a została naprawiona w wydaniu 5.9.1.

