Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W punkcie końcowym visitors.info w Rocket.Chat zwracany jest token uwierzytelniający w odpowiedzi API. Nie ma uzasadnionego przypadku użycia dla obecności tego tokena w odpowiedzi, a jego wyciek stanowi zagrożenie bezpieczeństwa. Podatność została załatana w wersjach 8.5.0, 8.4.2, 8.3.4, 8.2.4, 8.1.5, 8.0.6, 7.13.8 oraz 7.10.12.
W wersjach przed 8.5.0 komponent ImageElement w Rocket.Chat renderuje wartości src kontrolowane przez użytkownika bez sanitizacji protokołów. Umożliwia to wstawienie złośliwego URL z protokołem javascript:, co może prowadzić do wykonania dowolnego kodu JavaScript w sesji użytkownika.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 tworzą plik konfiguracyjny /etc/motioneye/motion.conf z uprawnieniami 644, co pozwala na jego odczyt przez każdego lokalnego użytkownika, ujawniając wrażliwe dane, w tym hasz hasła administratora.
motionEye (mEye) to interfejs online dla oprogramowania do monitoringu wideo, które wykrywa ruch. Wersje przed 0.44.0 są podatne na atak typu path traversal w punktach końcowych API dla zdjęć i filmów, co pozwala uwierzytelnionemu użytkownikowi na odczyt dowolnych plików z systemu plików.
W KubeVirt znaleziono lukę w serwerze powiadomień domeny virt-handler. Procedury obsługi gRPC dla HandleDomainEvent i HandleK8SEvent pobierają tożsamość VMI (przestrzeń nazw/nazwa) wyłącznie z treści żądania, bez weryfikacji jej względem źródła połączenia. Każdy proces virt-launcher łączy się przez gniazdo potoku per-VMI, ale żaden znacznik tożsamości nie jest propagowany ze ścieżki potoku do procedur obsługi serwera.
W Gogs przed wersją 0.14.3, złośliwy użytkownik z uprawnieniami do tworzenia nowych plików w repozytorium lub na stronie wiki może wywołać odmowę usługi (DoS). Powoduje to, że strony z listą plików zwracają błąd HTTP 500 i uniemożliwiają korzystanie z interfejsu webowego dla danego repozytorium lub wiki.
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym usuwanie wpisów JSON z ważnych podpisanych aktywności od zewnętrznych podmiotów.
Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23, nieprawidłowo normalizował przychodzące aktywności podpisane za pomocą Linked-Data Signatures, co umożliwiało atakującym manipulację ważnymi, podpisanymi aktywnościami JSON-LD od zewnętrznych podmiotów.
W systemie zarządzania treścią Ghost, od wersji 5.46.1 do 6.21.2, walidacja filtrów na publicznych punktach API mogła być częściowo obejściowa, co umożliwiało ujawnienie prywatnych pól poprzez atak brute force. W przypadku użycia SQLite, hasła były w pełni dostępne, natomiast w przypadku MySQL, wielkość liter w hasłach została utracona, co mogło uniemożliwić dalsze ataki brute force.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1 niewystarczająca walidacja typu Content-Type dostarczanego przez klienta na końcówce API do przesyłania plików umożliwiła serwowanie przesłanych plików z wybranym przez atakującego typem treści z backendów S3/GCS.
Podatność w systemie zarządzania treścią Ghost (wersje od 5.18.0 do 6.21.1) umożliwia nieuwierzytelnionemu atakującemu sprawdzenie, czy dany adres e-mail należy do zarejestrowanego użytkownika. Problem wynika z różnic w odpowiedziach zwracanych przez endpointy logowania członków.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.19.4 do 6.21.1, podczas ponownego renderowania postów, Ghost mógł wysyłać żądania HTTP do nieautoryzowanych hostów obrazów, co stwarzało ryzyko dla bezpieczeństwa.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1, sprawdzenie prywatnego adresu IP dla wychodzących żądań HTTP mogło być obejście za pomocą DNS rebinding, co pozwalało atakującemu na zmuszenie serwera Ghost do łączenia się z hostami w sieciach wewnętrznych.
Ghost to system zarządzania treścią oparty na Node.js. W wersjach od 6.0.9 do 6.21.1 istnieje możliwość ominięcia filtra IP podczas wykonywania zewnętrznego żądania, co pozwala na skierowanie go do wewnętrznej usługi przy użyciu literału IPv6 odpowiadającego prywatnemu adresowi IPv4.
Jellyfin, otwartoźródłowy serwer multimedialny, przed wersją 10.11.9 zawierał potencjalną podatność XSS, która pozwalała na wykonanie dowolnego kodu Javascript przez nieuprzywilejowanego użytkownika w kontekście zalogowanego użytkownika administracyjnego. Atak mógł wystąpić poprzez nagłówek Client podczas AuthenticateByName.
Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.197 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Podatność w przeglądarce Google Chrome na Androidzie przed wersją 149.0.7827.197 wynika z użycia niezainicjalizowanej pamięci w module GPU. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do odczytu potencjalnie wrażliwych danych z pamięci procesu.
Podatność w Google Chrome przed wersją 149.0.7827.197 wynika z niewystarczającej walidacji niezaufanych danych wejściowych w mechanizmie nawigacji. Umożliwia ona zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Podatność w Google Chrome przed wersją 149.0.7827.197 polega na użyciu niezainicjalizowanej pamięci w GPU. Zdalny atakujący, który przejął proces renderowania, może uzyskać potencjalnie wrażliwe informacje z pamięci procesu za pomocą spreparowanej strony HTML.
Podatność w mechanizmie Autofill w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między domenami za pomocą spreparowanej strony HTML.

