Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W dniu 11 maja 2026 roku opublikowano złośliwą wersję pakietu `guardrails-ai` (0.10.1) na PyPI, co mogło wpłynąć na użytkowników, którzy go zainstalowali. Badacze bezpieczeństwa zidentyfikowali złośliwy pakiet w ciągu około 2 godzin, a PyPI podjęło działania w celu jego kwarantanny.
Dwie podatności typu path traversal w usłudze Network Installation Service (NIS) serwera Altium Enterprise pozwalają nieautoryzowanemu atakującemu na zapis dowolnych plików w dowolnej zapisywalnej lokalizacji na systemie plików serwera oraz na odczyt plików archiwów pakietów z serwera.
W Altium Enterprise Server występuje podatność związana z używaniem twardo zakodowanego klucza kryptograficznego do podpisywania adresów URL pobierania plików. Klucz ten jest identyczny we wszystkich instalacjach, co pozwala nieautoryzowanym atakującym na fałszowanie podpisów i pobieranie plików z obszaru przechowywania Vault bez autoryzacji.
HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania komponentu `<video-player>`, który pozwala na użycie URI `javascript:` w atrybucie `source`.
HAX CMS w wersjach przed 26.0.0 posiada podatność na nadpisywanie plików, która wymaga uwierzytelnienia. Atakujący może wykorzystać tę podatność do skonfigurowania złośliwych poleceń Git, co prowadzi do wykonania kodu na serwerze HAX CMS.
W HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, występuje podatność na przechowywane ataki XSS w wersjach przed 26.0.0. Problem wynika z niewłaściwego oczyszczania elementów `<iframe>`, co pozwala na wykonanie złośliwego kodu JavaScript.
HAX CMS, który zarządza mikrositami z backendem PHP lub Node.js, przed wersją 26.0.0 zawierał krytyczne błędy w implementacji kryptograficznej w funkcji `hmacBase64()`. Te błędy pozwalały nieautoryzowanym atakującym na wydobycie prywatnego klucza podpisywania systemu oraz fałszowanie tokenów JWT, co umożliwiało pełny dostęp administracyjny za pomocą jednego żądania HTTP.
W wersjach 0.11.0 do 0.26.0 występuje błąd logiczny w uwierzytelnianiu klienta `client-kubernetes-secret` w Keycloak, co pozwala atakującemu na nadpisanie `client_secret` z zamontowanego sekretu Kubernetes. To umożliwia uwierzytelnienie się jako dany klient z dowolną wartością `client_secret` i uzyskanie tokenów OAuth2.
Wtyczka Hippoo Mobile App dla WooCommerce w WordPressie jest podatna na obejście uwierzytelnienia, co prowadzi do przejęcia konta administratora we wszystkich wersjach do i włącznie z 1.9.4. Problem wynika z błędu logicznego w funkcji HippooPermissions::get_user_permissions(), która zwraca ten sam null dla administratorów i niezautoryzowanych użytkowników.
Termix to platforma zarządzania serwerem, która przed wersją 2.3.2 miała lukę w komponencie Menedżer plików, gdzie parametr ścieżki był niebezpiecznie przetwarzany. To umożliwiało wykonanie poleceń powłoki przez złośliwych użytkowników w aktywnej sesji SSH.
Termix to platforma zarządzania serwerami oparta na sieci web, która przed wersją 2.3.2 miała lukę w punkcie końcowym `POST /ssh/tunnel/connect`. Luka ta pozwalała na wstrzyknięcie poleceń systemowych poprzez interpolację pól kontrolowanych przez użytkownika w poleceniu powłoki.
Termix to platforma zarządzania serwerami, która przed wersją 2.3.2 zawierała krytyczną podatność na złamanie kontroli dostępu w funkcjonalności Menedżera Plików. Problem wynikał z niewłaściwej walidacji parametru sessionId, co pozwalało atakującemu na dostęp do sesji Menedżera Plików innych użytkowników.
Termix to platforma zarządzania serwerem oparta na sieci, która przed wersją 2.3.2 była podatna na wstrzykiwanie poleceń systemowych w punkcie końcowym GET /ssh/file_manager/ssh/resolvePath. Umożliwia to uwierzytelnionym użytkownikom wykonanie dowolnych poleceń na zdalnym hoście.
W składniku cluster-admin:backup-datastore w wersji Controller v12.0.5 występuje problem, który umożliwia atakującym wykonanie ataku typu directory traversal za pomocą spreparowanego żądania.
NetMan 204 nie wymusza uwierzytelniania na swoich stronach administracyjnych i punktach końcowych komend. Zdalny, nieautoryzowany atakujący może bezpośrednio żądać stron administracyjnych, co prowadzi do ujawnienia wrażliwych informacji oraz możliwości wywołania uprzywilejowanych komend kontrolnych UPS.
NetMan 204 zawiera twardo zakodowane konto backdoor z nazwą użytkownika i hasłem 'eurek', które przyznaje dostęp administracyjny. Zdalny, nieautoryzowany atakujący może uwierzytelnić się przez punkt końcowy cgi-bin/login.cgi, co pozwala na uzyskanie uprawnień administratora.
Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z powodu niewłaściwego sanitizowania danych wejściowych. Metoda send_stats nie usuwa nowych linii z nazw metryk, co umożliwia atakującym zmianę prefiksu nazwy metryki.
Wersje DataDog::DogStatsd do 0.07 dla Perla pozwalają na wstrzykiwanie metryk z tagów zdarzeń. Metoda format_event nie waliduje zawartości tagów, co umożliwia wstrzykiwanie danych z niezaufanych źródeł.
Wersje DBI przed 1.648 dla Perla mają podatność na przepełnienie sterty podczas wstępnego przetwarzania zapytań SQL z więcej niż 9 binderami. Metoda preparse rozszerza znaki zastępcze SQL na ponumerowane bindery, ale alokuje tylko trzy znaki na binder w buforze.
W systemie Redline WR3200 występuje luka związana z niewłaściwą autoryzacją, która pozwala na dostęp do funkcji nieodpowiednio zabezpieczonych przez listy kontroli dostępu (ACL). Problem dotyczy wersji od 7.1.3 do przed 7.1.8.

