Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach od 0.27.0 do przed 0.29.3, twardo zakodowany fallback BETTER_AUTH_SECRET ('better-auth-secret-123456789') umożliwia nieautoryzowanemu atakującemu fałszowanie JWT do weryfikacji e-mail, wywoływanie automatycznego logowania jako administrator oraz wykonywanie poleceń na hoście za pomocą wbudowanego terminala SSH.
Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach 0.28.8 i wcześniejszych, uwierzytelniona podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym application.updateTraefikConfig tRPC pozwala użytkownikom z uprawnieniami administratora/ właściciela na wykonywanie dowolnych poleceń systemowych na zdalnych serwerach poprzez niesanitarną interpolację polecenia echo.
Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach 0.28.8 i wcześniejszych, uwierzytelniona injekcja poleceń systemowych w punkcie końcowym WebSocket /listen-deployment pozwala każdemu członkowi organizacji na wykonywanie dowolnych poleceń systemowych na zdalnych serwerach zarządzanych przez Dokploy, co prowadzi do pełnego kompromitacji serwera.
Dokploy to darmowa platforma PaaS, która w wersji 0.29.2 i wcześniejszych buduje polecenia powłoki przy użyciu szablonów JavaScript i wykonuje je za pomocą child_process.exec(). Nazwy gałęzi, adresy URL repozytoriów oraz dane uwierzytelniające Docker dostarczane przez użytkownika są interpolowane bezpośrednio do tych poleceń bez odpowiedniego zabezpieczenia.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.0, API REST oparte na huma ujawnia dziewięć punktów końcowych do zarządzania repozytoriami GitOps i ich zapisanymi poświadczeniami, co pozwala na nieautoryzowane operacje przez użytkowników z domyślną rolą.
W wersjach 0.29.1 i wcześniejszych Dokploy, darmowej platformy PaaS, występuje podatność na wstrzykiwanie poleceń w funkcjonalności przesyłania plików do Dockera. Parametr destinationPath nie jest odpowiednio oczyszczany, co pozwala na wstrzyknięcie metaznaków powłoki i wykonanie dowolnych poleceń systemowych na hoście Dokploy.
Plesk zawiera podatność na wstrzykiwanie XPath w funkcjonalności wyszukiwania katalogu aplikacji APS, gdzie dane wejściowe dostarczone przez użytkownika są interpolowane do zapytań XPath bez odpowiedniej sanitizacji. Umożliwia to uwierzytelnionemu, nisko uprzywilejowanemu użytkownikowi wykonanie dowolnych poleceń systemu operacyjnego na serwerze, co prowadzi do eskalacji uprawnień lokalnych.
Wtyczka WP Travel Pro dla WordPressa jest podatna na nieautoryzowane usuwanie użytkowników poprzez punkt końcowy REST API /wp-json/wp-travel/v1/travel-guide/{user_id} we wszystkich wersjach do 10.6.0 włącznie. Problem wynika z tego, że funkcja check_permission() zawsze zwraca true, a metoda Database::delete() przekazuje identyfikator użytkownika bez walidacji ról.
manga-image-translator zawiera podatność na zdalne wykonanie kodu w trybie serwera API z powodu niebezpiecznej deserializacji nieufnych danych pickle w module share.py. Punkty końcowe /execute/{method_name} i /simple_execute/{method_name} deserializują dane z kontrolowanych przez atakującego ciał żądań HTTP przy użyciu pickle.loads().
FreePBX to otwarte oprogramowanie IP PBX. Użytkownicy nieautoryzowani mogą uzyskać dostęp do Panelu Sterowania Użytkownika (UCP) przy użyciu wbudowanych, początkowych danych logowania, jeśli administrator nie zmienił ich natychmiast po włączeniu UCP.
RAGFlow to otwartoźródłowy silnik RAG (Retrieval-Augmented Generation). W wersji 0.24.0 i wcześniejszych występuje podatność na wstrzykiwanie szablonów Jinja2 w generatorze promptów, co pozwala każdemu uwierzytelnionemu użytkownikowi na wykonywanie dowolnych poleceń systemowych na serwerze.
RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. Przed wersją 1.0.0-beta.2, niewłaściwa walidacja w punkcie końcowym PUT /rustfs/admin/v3/import-iam pozwalała użytkownikowi z uprawnieniami ImportIAMAction na tworzenie kont serwisowych pod dowolnymi tożsamościami nadrzędnymi, w tym użytkownikiem root (minioadmin).
DreamMaker opracowany przez Interinfo ma podatność na arbitralne przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie backdoorów w postaci powłok webowych, co umożliwia wykonanie dowolnego kodu na serwerze.
W Mautic 7 występuje podatność typu path traversal w funkcji importu kampanii. Błąd w logice walidacji pozwala na wydostanie się ścieżek plików poza zamierzone katalogi tymczasowe podczas ekstrakcji przesłanych plików ZIP.
W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność typu CWE-78, która pozwala na niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemowych. Ta luka umożliwia zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu poprzez interfejs webowy konsoli.
W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, polegającą na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.
W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('OS Command Injection') w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.
W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, która umożliwia zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych poprzez Console WebUI.
W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano lukę CWE-288, która pozwala zdalnym, nieautoryzowanym atakującym na ominięcie uwierzytelnienia w aplikacji webowej Console. Dzięki temu mogą oni wykonywać działania jako uwierzytelniony użytkownik.
W systemie Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność CWE-78, polegającą na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, nieautoryzowanym atakującym wykonywanie dowolnych poleceń systemowych na urządzeniu.

