Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Biblioteka react-native-receive-sharing-intent zawiera podatność na path traversal, która pozwala złośliwej aplikacji na zapis plików poza docelowym katalogiem cache poprzez dostarczenie spreparowanej wartości _display_name zawierającej sekwencje dot-dot. Atakujący może wysłać intencję ACTION_SEND do eksportowanej aktywności share-receiver, aby nadpisać dowolne pliki w prywatnym katalogu danych aplikacji, w tym bazy danych, preferencje i konfiguracje.
Podatność w Dapr Sentry umożliwia zdalnemu, nieuwierzytelnionemu atakującemu zatrucie dokumentu OIDC discovery poprzez niezweryfikowany nagłówek X-Forwarded-Host. Atakujący może sprawić, że systemy ufające pobiorą klucze JWKS z kontrolowanego przez niego serwera, co prowadzi do akceptacji podpisanych przez atakującego tokenów JWT.
LobeChat przed wersją 2.2.10-canary.18 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może kierować wewnętrzne żądania HTTP do dowolnych adresów URL, wykorzystując punkty końcowe importu umiejętności (importFromUrl) i aktualizacji okładki tematu (fetchImageFromUrl), które używają globalnego fetch bez ochronnego wrappera ssrf-safe-fetch.
Podatność w Pathway do wersji 0.31.1 (załatana w commit d09722e) pozwala zdalnemu, nieuwierzytelnionemu atakującemu na przeprowadzenie ataku DoS poprzez wysłanie krótkiego wzorca glob z wieloma tokenami ** do endpointów HTTP /v1/retrieve, /v1/inputs lub /v2/answer. Rekurencyjny, niememoizowany algorytm dopasowujący wzorzec do ścieżek dokumentów ma wykładniczą złożoność obliczeniową, co przy braku ograniczeń długości lub liczby tokenów ** prowadzi do przeciążenia CPU na dziesiątki sekund na żądanie.
W Weaviate przed wersją 1.38.0 brakuje weryfikacji, czy podmiot przypisujący rolę RBAC posiada uprawnienia nadawane przez tę rolę. Procedury assignRoleToUser i assignRoleToGroup autoryzują jedynie możliwość przypisania roli, a nie same uprawnienia, co pozwala użytkownikowi z delegowanym uprawnieniem assign_and_revoke_users lub assign_and_revoke_groups na przypisanie sobie lub innym roli administratora lub dowolnej wysokouprzywilejowanej roli niestandardowej.
JuiceFS w wersji do 1.3.1 zawiera podatność pozwalającą na ominięcie uwierzytelniania. Niezautoryzowany atakujący zdalnie może uzyskać dostęp do wrażliwych punktów końcowych debugowania i metryk, wykorzystując nieprawidłową rejestrację handlerów na współdzielonym http.DefaultServeMux. Atakujący może odczytać linię poleceń procesu zawierającą dane uwierzytelniające do bazy danych silnika metadanych, uzyskując pełny dostęp do systemu plików.
Cockpit CMS przed wydaniem 364 zawiera podatność na path traversal i lokalne dołączanie plików, która pozwala nieuwierzytelnionym atakującym na odczyt dowolnych plików lub wykonanie plików PHP poprzez dołączanie niesprawdzonego PATH_INFO pochodzącego z REQUEST_URI w konstrukcji ścieżki systemu plików bez kontroli ograniczeń. Atakujący mogą wstrzykiwać sekwencje kropek (dot-dot) do URL, aby wyjść poza wyznaczony katalog spaces, a gdy rozpoznana ścieżka kończy się rozszerzeniem .php, aplikacja przekazuje ją do include(), umożliwiając lokalne dołączanie plików na wdrożeniach korzystających z wbudowanego serwera PHP lub niektórych niestandardowych konfiguracji Nginx.
Wtyczka TinyPNG do WordPressa (wersje do 3.6.13) zawiera podatność na usuwanie dowolnych plików przez uwierzytelnionego atakującego z dostępem autora lub wyższym. Problem wynika z niewystarczającej walidacji ścieżki pliku w funkcji delete_converted_image_size.
W Eclipse Wakaama przed snapshot/2026-05-26 odkryto podatność polegającą na nieograniczonym przydzielaniu pamięci w obsłudze bloków CoAP Block1 w pliku coap/block.c. Nieuwierzytelniony atakujący może wysłać serię żądań PUT z rosnącymi numerami bloków, co powoduje wielokrotną realokację bufora akumulacyjnego bez limitu rozmiaru, prowadząc do wyczerpania pamięci serwera.
W interfejsie zarządzania routera Archer C5 v6.8 wykryto podatność na trwały atak XSS. Brak odpowiedniej walidacji i kodowania danych wejściowych umożliwia administratorowi wstrzyknięcie złośliwego kodu HTML/JS, który jest wykonywany podczas przeglądania strony przez innego administratora.
Podatność w aplikacji SSL Erlang/OTP pozwala nieuwierzytelnionemu atakującemu na trwałe zakłócenie obsługi biletów sesji TLS 1.3 poprzez wysłanie spreparowanego ClientHello z niespójną listą tożsamości PSK i binderów. Powoduje to awarię procesu obsługi biletów sesji, co uniemożliwia działanie TLS 1.3 na danym słuchaczu do czasu restartu aplikacji SSL.
W bibliotece SSL środowiska Erlang/OTP wykryto podatność typu TOCTOU (Time-of-check Time-of-use) w module dtls_packet_demux. Niezautoryzowany atakujący zdalnie może wysłać wiele komunikatów ClientHello z tego samego adresu IP i portu, wywołując wyścig w przechowywaniu kluczy, co prowadzi do awarii procesu demultipleksera i przerwania wszystkich aktywnych sesji DTLS na danym nasłuchiwaczu.
Craft CMS w wersjach od 5.7.0 do 5.9.20 zawiera podatność na masowe przypisanie atrybutów w akcji masowego duplikowania elementów. Atakujący, który może duplikować własne wpisy, może przesłać dowolne id przez parametr newAttributes, co prowadzi do nadpisania istniejącego wpisu ofiary.
Landray OA zawiera nieuwierzytelnioną podatność na wstrzykiwanie HQL, która pozwala atakującym na wykonywanie zapytań do encji Hibernate poprzez wstrzyknięcie złośliwej składni HQL do parametru uid w endpointcie wechatLoginHelper.do. Brak sanityzacji danych wejściowych w wyrażeniu filtru przekazywanym do metody findList() umożliwia wyodrębnienie poufnych danych, takich jak hashe haseł administratora, a przy odpowiednich uprawnieniach bazy danych – zapis plików i zdalne wykonanie kodu.
Podatność typu względnego przejścia ścieżki (relative path traversal) w opcji "keyhint" podczas parsowania pliku repomd.xml w bibliotece libzypp przed wersją 17.38.12. Atakujący mogący dostarczyć złośliwe repozytorium mogą wstrzykiwać lub nadpisywać pliki w systemie docelowym jako root.
W systemie Progress Flowmon ADS przed wersjami 12.5.6 i 13.0.5 istnieje podatność, która pozwala uwierzytelnionemu atakującemu z niskimi uprawnieniami na wysyłanie specjalnie spreparowanych żądań, co może prowadzić do nieautoryzowanego dostępu do danych aplikacji oraz ich modyfikacji.
W Progress Flowmon przed wersjami 12.5.9 i 13.0.11 uwierzytelniony użytkownik z niskimi uprawnieniami może spreparować żądanie podczas generowania pliku PDF, co prowadzi do wykonania operacji z uprawnieniami innego użytkownika. Może to skutkować nieautoryzowanym dostępem do wrażliwych danych i niezamierzonymi zmianami konfiguracji systemu.
Podatność Incorrect Authorization w UniFi Network Application umożliwia złośliwemu aktorowi z dostępem do sieci utrzymanie przywilejów po ich usunięciu, pod pewnymi warunkami.
Podatność SQL Injection w aplikacji UniFi Protect umożliwia atakującemu z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień na urządzeniu hosta poprzez wstrzyknięcie złośliwego kodu SQL.
Podatność w aplikacji UniFi Talk umożliwia osobie atakującej z dostępem do sieci i niskimi uprawnieniami eskalację uprawnień poprzez niewłaściwą kontrolę dostępu.

