Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność typu Relative Path Traversal w Apache Kvrocks umożliwia atakującemu dostęp do plików poza zamierzonym katalogiem. Problem dotyczy wersji od 1.0.0 do 2.15.0.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z niestandardowymi uprawnieniami roli przeglądanie, tworzenie lub usuwanie konfiguracji chronionego środowiska, mimo że widoczność CI/CD była wyłączona dla projektu.
Podatność Path Traversal w funkcji create_archive wtyczki Compression InsightConnect firmy Rapid7 na systemie Linux umożliwia uwierzytelnionym atakującym zapis do nieprzewidzianych ścieżek plików poprzez spreparowaną nazwę pliku. Wpływ jest ograniczony do uszkodzenia plików, ponieważ atakujący nie kontroluje ich zawartości.
W Appsmith przed wersją 1.99, endpoint POST /api/v1/admin/send-test-email akceptuje kontrolowane przez atakującego wartości smtpHost i smtpPort, nawiązując surowe połączenie TCP JavaMail bez walidacji IP. Obejście to całkowicie pomija filtr IP WebClientUtils, który dotyczy tylko żądań HTTP Spring WebClient. Ponadto, surowy komunikat MailException.getMessage() jest zwracany w odpowiedzi API, co umożliwia skanowanie portów i enumerację bannerów usług na podstawie błędów.
W Cacti w wersjach 1.2.30 i starszych, funkcja rrdtool_function_update() używa lokalnie zależnego formatowania dziesiętnego, co może powodować uszkodzenie wartości metryk RRDtool. Gdy lokalizacja serwera używa przecinka jako separatora dziesiętnego (np. de_DE), wartość 1.5 jest konwertowana na „1,5”, podczas gdy RRDtool oczekuje kropki. Prowadzi to do przesunięcia danych do niewłaściwych kolumn lub ich cichego pominięcia.
Gogs przed wersją 0.14.3 zawiera podatność na atak DoS polegającą na panicznym zakończeniu działania podczas renderowania specjalnie spreparowanego wzorca indeksu zgłoszenia. Brak domknięcia nawiasu klamrowego w konfiguracji powoduje błąd w funkcji RenderIssueIndexPattern, co uniemożliwia dostęp do stron zawierających odwołania do zgłoszeń.
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 i 7.10.12 polega na braku unieważnienia tokenów OAuth (zarówno access, jak i refresh) po dezaktywacji użytkownika. Dezaktywowany użytkownik może nadal używać istniejącego tokena dostępu lub wygenerować nowy token na podstawie posiadanego tokena odświeżania.
Podatność w Rocket.Chat umożliwia dezaktywowanym użytkownikom (przez funkcję users.deactivateIdle) dalsze korzystanie z już wydanych tokenów logowania. Oznacza to, że użytkownik oznaczony przez administratora jako nieaktywny z powodu bezczynności może nadal uzyskiwać dostęp do uwierzytelnionych punktów końcowych REST przy użyciu starego tokena.
Podatność w Jellyfin przed wersją 10.11.10 pozwala na zapis plików w dowolnej ścieżce systemu plików poprzez spreparowany plik MKV z fałszywymi znacznikami nazw załączników. Brak sanityzacji ścieżki w metodzie Path.Combine umożliwia nadpisanie lub utworzenie plików poza docelowym katalogiem.
Wtyczka Active Directory dla Jenkinsa w wersji 2.41.1 i wcześniejszych nie odpowiednio koduje nazwy użytkownika przed zbudowaniem filtra wyszukiwania LDAP w ścieżce uwierzytelniania Windows (ADSI). Pozwala to nieuwierzytelnionym atakującym na wstrzykiwanie znaków wieloznacznych LDAP w celu enumeracji wpisów w katalogu oraz uwierzytelnienia się jako pasujący użytkownik, którego hasło znają, bez znajomości dokładnej nazwy użytkownika.
Podatność w ImageMagick przed wersją 7.1.2-19 umożliwia dostęp poza zakresem w funkcji ConnectedComponentsImage() podczas przetwarzania artefaktów połączonych komponentów z nieprawidłowymi indeksami. Atakujący mogą wywołać naruszenia dostępu poprzez CLI, co prowadzi do odmowy usługi lub potencjalnego wykonania kodu.
Podatność w ImageMagick przed wersją 7.1.2-15 powoduje wyciek pamięci w wielu koderach zapisujących surowe dane pikseli, gdzie przydzielone obiekty nie są prawidłowo zwalniane. Atakujący mogą wywołać ten wyciek poprzez przetwarzanie specjalnie spreparowanych obrazów, prowadząc do wyczerpania pamięci i odmowy usługi.
Podatność typu Stored Cross-Site Scripting w komponencie Canarytokens firmy Thinkst Applied Research, dotycząca publicznie dostępnego magazynu kluczy API AWS. Anonimowe wykorzystanie wymaga znajomości losowego identyfikatora.
Wtyczka Site Kit by Google dla WordPressa przed wersją 1.176.0 nieprawidłowo ogranicza dostęp do punktu końcowego REST API umożliwiającego zapis, co pozwala użytkownikom z niższymi uprawnieniami (np. redaktorom) na modyfikację ustawień wtyczki, które powinny być dostępne tylko dla administratorów.
Podatność w NocoDB przed wersją 2026.05.1 umożliwiała posiadaczowi tokena MCP o niskich uprawnieniach, znającemu ścieżkę do załącznika, odczyt dowolnego pliku w udostępnionym magazynie, w tym załączników należących do innych baz i obszarów roboczych. Problem wynikał z braku weryfikacji własności pliku przez narzędzie readAttachment.
W oprogramowaniu NocoDB przed wersją 2026.04.4 usunięte tokeny API nadal umożliwiały uwierzytelnianie żądań do czasu wygaśnięcia wpisu w pamięci podręcznej. Podatność wynikała z faktu, że proces usuwania tokena nie unieważniał odpowiadającego mu wpisu w cache'u autoryzacyjnym, co tworzyło okno czasowe do 3 dni, w którym usunięty token pozostawał aktywny.
W NocoDB przed wersją 2026.04.1, funkcja przesyłania plików przez URL nie sprawdzała limitu rozmiaru pliku (NC_ATTACHMENT_FIELD_SIZE) ani dla deklarowanego nagłówka Content-Length zdalnego pliku, ani dla zdekodowanej długości URI danych. Umożliwiało to uwierzytelnionemu użytkownikowi ominięcie skonfigurowanego limitu rozmiaru pliku.
W NocoDB przed wersją 2026.04.1 stwierdzono podatność polegającą na tym, że token OAuth z ograniczonym zakresem (np. tylko dla MCP) dziedziczył pełne uprawnienia użytkownika we wszystkich ścieżkach. Ograniczenie granted_resources.base_id było pomijane na punktach końcowych na poziomie organizacji, które nie wypełniają req.context.base_id.
Pi, minimalne narzędzie programistyczne dla terminala, w wersjach od 0.74.0 do 0.78.1 przechowuje klucze API i dane uwierzytelniające OAuth w pliku auth.json. Wada wyścigu w ścieżce zapisu pliku może tymczasowo utworzyć lub nadpisać ten plik z uprawnieniami wynikającymi z umask procesu, zanim zostaną one zaostrzone do uprawnień tylko dla właściciela.

