Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Jenkins Pipeline: Groovy w wersji 4331.v9d06ed4658ff i wcześniejszych nie ogranicza typów, które mogą być tworzone za pomocą generatora fragmentów potoku (Pipeline Snippet Generator). Umożliwia to atakującym tworzenie typów związanych z konfiguracją zadań lub systemu, innych niż kroki potoku.
Podatność CSRF w Jenkins Pipeline: Groovy Plugin 4331.v9d06ed4658ff i wcześniejszych umożliwia atakującym tworzenie instancji typów związanych z konfiguracją zadań lub systemu, innych niż kroki Pipeline, za pomocą Generatora Fragmentów Pipeline.
Wtyczka Git client dla Jenkinsa w wersji 6.6.0 i wcześniejszych nieprawidłowo escapuje nazwę katalogu roboczego, gdy jest ona osadzana w generowanym skrypcie SSH. Umożliwia to atakującym kontrolującym nazwę katalogu roboczego wykonanie dowolnych poleceń systemu operacyjnego na agencie.
Podatność HTML injection w bibliotece Hono przed wersją 4.12.14 umożliwia atakującym wstrzyknięcie niepożądanego kodu HTML poprzez użycie zniekształconych nazw atrybutów podczas renderowania po stronie serwera JSX. Specjalnie spreparowane klucze atrybutów zawierające znaki takie jak cudzysłowy lub nawiasy ostrokątne mogą przełamać granice znaczników HTML i wstrzyknąć dowolne atrybuty lub elementy.
Podatność XSS w n8n przed wersjami 1.123.25 (1.x) i 2.11.2 (2.x) (poprawka także w 2.12.0) występuje w węźle Form Trigger z powodu nieprawidłowego czyszczenia CSS. Uwierzytelnieni użytkownicy z uprawnieniami do tworzenia przepływów pracy mogą wstrzykiwać złośliwe skrypty, które wykonują się trwale dla wszystkich odwiedzających formularz.
Capgo w wersjach przed 12.128.2 zawiera podatność na odmowę usługi w punkcie końcowym /auth/v1/otp, która uniemożliwia weryfikację e-mailową dla uwierzytelniania dwuskładnikowego z powodu niepowodzeń walidacji captcha.
Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w funkcji public.exist_app_v2 RPC, która pozwala nieautoryzowanym atakującym na enumerację app_id poprzez wywołanie POST /rest/v1/rpc/exist_app_v2 z dowolnymi parametrami appid.
Cap-go przed wersją 12.128.2 zawiera lukę w autoryzacji w punkcie końcowym GET /organization/members, która pozwala kluczom API ograniczonym do organizacji na obejście ograniczeń limited_to_orgs. Napastnicy z takimi kluczami mogą uzyskać dostęp do danych członkostwa z organizacji spoza przypisanego zakresu.
Capgo w wersjach przed 12.128.2 zawiera niezabezpieczony zbiornik obrazów, który nie ma żadnych kontroli bezpieczeństwa na poziomie wiersza, co pozwala nieautoryzowanym atakującym na odczyt, wstawianie i usuwanie przechowywanych ikon aplikacji.
Flowise przed wersją 3.0.13 używa bcrypt z domyślną liczbą rund soli wynoszącą 5, co daje tylko 32 iteracje zamiast zalecanego przez OWASP minimum 10 rund. Atakujący mogą złamać hasła około 30 razy szybciej przy użyciu nowoczesnych procesorów graficznych, co w przypadku wycieku bazy danych może zagrozić wszystkim kontom użytkowników.
Flowise przed wersją 3.1.0 (pakiet npm flowise, wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego hasła 'Secre$t' dla zmiennej środowiskowej TOKEN_HASH_SECRET w pliku packages/server/src/enterprise/utils/tempTokenUtils.ts, gdy zmienna nie jest skonfigurowana. Ten sekret jest używany do wyprowadzania klucza AES-256-CBC, który szyfruje identyfikatory użytkowników i obszarów roboczych w polu 'meta' tokenów JWT. Atakujący znający domyślny sekret może odszyfrować te metadane, aby wydobyć wewnętrzne identyfikatory użytkowników i obszarów roboczych, a następnie ponownie zaszyfrować zmodyfikowane wartości, takie jak zmienione identyfikatory użytkowników lub obszarów roboczych.
Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą ominięcie uwierzytelniania w endpointach monitora routera, co pozwala nieuwierzytelnionym atakującym na dostęp do destrukcyjnych operacji. Zdalni atakujący mogą wywołać endpoint /monitor/actions/cleanup i manipulować stanem monitorowania bez uwierzytelniania, powodując przerwanie działania usługi.
W podatności CVE-2026-13163 występuje luka otwartego przekierowania w funkcji _safe_redirect w punkcie końcowym śledzenia kliknięć w Mailerup przed wersją 1.0.0. Umożliwia to zdalnym, nieautoryzowanym atakującym przekierowanie ofiar na dowolne zewnętrzne strony, co może prowadzić do ataków phishingowych.
Flowise do wersji 2.2.7 zawiera podatność na wstrzykiwanie SQL w API importChatflows. Z powodu niewystarczającej walidacji wartości chatflow.id, uwierzytelniony użytkownik może dostarczyć spreparowany plik JSON, którego pole id jest łączone bez sanityzacji z klauzulą SQL IN, umożliwiając wykonanie dowolnego kodu SQL, w tym ślepe i oparte na błędach wydobycie danych z tabeli credential.
W systemie ccyl13 Pentestify w wersji 1.0.0 i niższych występuje podatność typu Server-Side Request Forgery (SSRF) w punkcie końcowym generowania PDF. Atakujący może wykorzystać tę lukę do wysyłania żądań do dowolnych wewnętrznych lub zewnętrznych adresów URL, co może prowadzić do ujawnienia wrażliwych danych.
W TortoiseGitBlame występuje podatność na wstrzykiwanie argumentów, która może być wykorzystana przez złośliwe nazwy plików historii Git. Może to prowadzić do nieautoryzowanego zapisu plików w TortoiseGit.
Wtyczka MotorDesk dla WordPressa jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.1.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji motordesk_admin_home.
Wtyczka Book a Room Event Calendar dla WordPress jest podatna na atak Cross-Site Request Forgery (CSRF) we wszystkich wersjach do 1.9 włącznie. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcjonalności settings_form()/update_settings().
Wtyczka WP Latest Posts dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez spreparowane atrybuty src obrazów w treści postów w wersjach do 5.0.11 włącznie. Problem wynika z niewystarczającego zabezpieczenia wyjścia w funkcjach field() i loop().
Wtyczka Reviews and Rating – Docplanner dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 1.1.4 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonywania określonych działań.

