Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w NSD umożliwia atakującemu, który jest serwerem nadrzędnym dla strefy, doprowadzenie do przepełnienia sterty poprzez wysłanie odpowiedzi AXFR zawierającej specjalnie spreparowany rekord SVCB o rozmiarze danych 65512 bajtów. Powoduje to zawinięcie zmiennej typu uint16_t używanej do alokacji pamięci, co prowadzi do zapisu poza przydzielonym buforem.
Podatność w bibliotece shell-quote przed wersją 1.8.5 powoduje, że funkcja parse() działa w czasie O(n^2) względem liczby tokenów wejściowych. Atakujący może dostarczyć specjalnie spreparowany ciąg znaków, który zablokuje jednowątkową pętlę zdarzeń Node.js na dłuższy czas, prowadząc do odmowy usługi (DoS).
W GitLab EE wykryto podatność, która w określonych warunkach mogła umożliwić użytkownikowi dostęp do poufnych informacji już zatwierdzonych w projekcie. Problem wynikał z niewystarczającego filtrowania danych wyjściowych w funkcji Duo Workflows.
Podatność w GitLab CE/EE umożliwia nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w sesji przeglądarki użytkownika z powodu nieprawidłowej walidacji ścieżki. Problem dotyczy wersji od 18.10 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab EE wykryto podatność polegającą na niewłaściwym oczyszczaniu danych wejściowych użytkownika. Uwierzytelniony użytkownik z uprawnieniami dewelopera mógł, w określonych warunkach, wykonać dowolny kod po stronie klienta w kontekście sesji innego użytkownika.
Wtyczka Dokan Pro dla WordPressa jest podatna na czasową iniekcję SQL przez parametry 'latitude' i 'longitude' we wszystkich wersjach do 5.0.4 włącznie. Podatność wynika z niedostatecznego escapowania parametrów użytkownika i braku odpowiedniego przygotowania zapytania SQL.
Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji traceroute wtyczki Rapid7 InsightConnect Traceroute dla systemu Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry żądania host, port, max_ttl, count lub time_out z powodu niewystarczającej walidacji danych wejściowych podczas konstruowania poleceń powłoki.
Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji TR wtyczki Translate firmy Rapid7 InsightConnect na systemie Linux. Zdalny atakujący może wykonać dowolne polecenia systemowe poprzez parametry text lub expression z powodu niedostatecznego oczyszczania danych wejściowych podczas konstruowania poleceń powłoki.
Wtyczka Ping dla Rapid7 InsightConnect na systemie Linux zawiera podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący zdalnie może wykonać dowolne polecenia poprzez parametr host z powodu niewystarczającej walidacji danych wejściowych.
Podatność umożliwiająca wstrzyknięcie poleceń systemu operacyjnego w akcji process_string wtyczki AWK InsightConnect firmy Rapid7 na systemie Linux. Atakujący zdalnie może wykonać dowolne polecenia systemowe poprzez parametry text lub expression z powodu niebezpiecznego konstruowania poleceń powłoki w potoku przetwarzania.
Podatność OS Command Injection w Rapid7 InsightConnect Sed Plugin na systemie Linux umożliwia uwierzytelnionym atakującym wykonanie dowolnych poleceń systemu operacyjnego poprzez parametr expression z powodu niewystarczającej walidacji danych wejściowych.
Podatność Arbitrary File Write w pluginie Sed dla Rapid7 InsightConnect na systemie Linux umożliwia uwierzytelnionym atakującym zapisanie kontrolowanej przez atakującego treści do dowolnych ścieżek plików za pomocą parametru expression.
W jądrze OpenBSD do wersji 7.9 w pliku sys/kern/sysv_sem.c występuje podatność use-after-free, która umożliwia lokalną eskalację uprawnień do poziomu roota. Problem pojawia się po przełączeniu kontekstu po wywołaniu tsleep w funkcji sys_semget().
Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie poleceń w procesie NVBULogDaemon. Problem wynika z braku walidacji danych użytkownika przed użyciem ich w wywołaniu systemowym, co pozwala atakującemu na wykonanie kodu w kontekście SYSTEM. Wymagane jest uwierzytelnienie, ale istniejący mechanizm uwierzytelniania może zostać ominięty.
Podatność SQL Injection w komponencie NVBUDashboard oprogramowania Quest NetVault Backup umożliwia zdalne wykonanie kodu. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL, co pozwala atakującemu na wykonanie kodu w kontekście konta NETWORK SERVICE. Wymagane jest uwierzytelnienie, ale istniejący mechanizm uwierzytelniania może zostać ominięty.
Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBULibrarySlot. Atak wymaga uwierzytelnienia, ale mechanizm uwierzytelniania może zostać ominięty. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL.
Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBULibraryPort. Atak wymaga uwierzytelnienia, ale istniejący mechanizm uwierzytelniania może zostać ominięty.
Podatność SQL Injection w komponencie NVBURemovableMedia oprogramowania Quest NetVault Backup umożliwia zdalnemu atakującemu wykonanie dowolnego kodu. Luka wynika z braku walidacji danych użytkownika przed użyciem ich w zapytaniach SQL, a istniejący mechanizm uwierzytelniania może zostać ominięty.
Podatność SQL Injection w Quest NetVault Backup umożliwia zdalne wykonanie kodu. Luka występuje w komponencie NVBUDeviceDrive podczas przetwarzania komunikatów JSON-RPC, gdzie brak walidacji danych użytkownika prowadzi do wstrzyknięcia SQL. Atak wymaga uwierzytelnienia, ale mechanizm uwierzytelniania może zostać ominięty.
Podatność w Quest NetVault Backup umożliwia zdalne wykonanie kodu poprzez wstrzyknięcie SQL w komponencie NVBURASDevice. Atak wymaga uwierzytelnienia, ale istniejący mechanizm uwierzytelniania może zostać ominięty.

