Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w MCO polega na braku walidacji typów przesyłanych plików po stronie serwera. Walidacja opiera się wyłącznie na kontroli po stronie klienta, co może zostać ominięte. Uwierzytelniony atakujący z niskimi uprawnieniami może przesłać pliki dowolnego typu na serwer.
Podatność MCO na enumerację użytkowników poprzez funkcje związane z uwierzytelnianiem. Aplikacja zwraca różne odpowiedzi dla prawidłowych i nieprawidłowych użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła, co umożliwia atakującemu wyliczenie prawidłowych nazw użytkowników i adresów e-mail.
Podatność Stored Cross‑Site Scripting (XSS) w MCO umożliwia atakującemu przesłanie złośliwego pliku SVG jako logo aplikacji. Kod JavaScript wykonuje się podczas renderowania lub otwierania logo.
Podatność w MCO umożliwia ujawnienie ścieżki i traversal ścieżki w funkcjonalności obsługi plików związanej z eksportem i przesyłaniem danych. Niewłaściwa walidacja parametru nazwy pliku pozwala na zapisywanie plików w dowolnych lokalizacjach oraz pośrednie ujawnienie absolutnych ścieżek serwera poprzez komunikaty błędów.
Podatność w MCO pozwala uwierzytelnionemu użytkownikowi z niskimi uprawnieniami na dostęp do struktury kontroli dostępu administratora przez endpoint /customer/servlet/mco/webapi/admin-view-hierarchy/get-acl-tree-structure. Brak odpowiedniej autoryzacji może ujawnić poufne mapowania uprawnień i szczegóły konfiguracji wewnętrznej.
Podatność w systemie MCO umożliwia atakującemu zablokowanie konta ofiary poprzez wielokrotne resetowanie hasła. Każde żądanie resetu unieważnia poprzednie hasło i tymczasowe hasła, a liczba resetów nie jest ograniczona. Atakujący, znając adres e-mail i odpowiedź na pytanie zabezpieczające, może skutecznie uniemożliwić ofierze dostęp do konta.
Podatność IDOR w endpointcie /customer/servlet/mco/webapi/trading-document/fetchPdfStatement umożliwia nieautoryzowany dostęp do dokumentów handlowych innych użytkowników. Brak walidacji uprawnień pozwala na odczyt dokumentów na podstawie identyfikatora, który może być łatwo odgadnięty.
Podatność w MCO pozwala uwierzytelnionemu użytkownikowi na modyfikację członkostwa w grupach bez odpowiedniej autoryzacji, co umożliwia eskalację uprawnień. Atakujący może dodać się do dowolnej grupy, podając prawidłowy identyfikator grupy, który może uzyskać z innych funkcji aplikacji lub odgadnąć metodą brute-force.
Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje rozbieżność w interpretacji zakodowanego ukośnika (%2F) między middleware a routerem Fastify. Atakujący może ominąć middleware używane do uwierzytelniania, autoryzacji lub ograniczania prędkości, wysyłając spreparowane żądanie z zakodowanym ukośnikiem w parametrze ścieżki.
Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje awarię procesu Node.js przy przetwarzaniu nieprawidłowo zakodowanych sekwencji procentowych w ścieżkach żądań. Błąd występuje tylko przy użyciu samodzielnego silnika API (middie.run), a nie wtyczki Fastify.
W Open VSX Registry przed wersją 1.0.2 endpoint /vscode/unpkg/ serwuje pliki HTML dostarczone przez użytkownika z typem MIME text/html i bez nagłówków Content-Security-Policy ani Content-Disposition: attachment. Nieuwierzytelniony atakujący może zarejestrować konto wydawcy, przesłać rozszerzenie VSIX z złośliwym ładunkiem HTML i nakłonić uwierzytelnionego użytkownika do odwiedzenia spreparowanego URL.
W bibliotece dhcpcd wykryto podatność w procesie obsługi komunikatów IPv6 Neighbor Discovery Router Advertisement. Specjalnie spreparowany pakiet IPv6 Router Advertisement z opcją Neighbor Discovery o zerowej długości może ominąć walidację podczas przechowywania, a następnie zostać ponownie przetworzony bez odpowiedniej kontroli, powodując zapętlenie parsera. Skuteczne wykorzystanie może prowadzić do nadmiernego zużycia procesora i odmowy usługi.
Wtyczka LatePoint dla WordPressa do wersji 5.6.3 zawiera podatność na eskalację uprawnień do administratora. Wynika ona z niebezpiecznego bezpośredniego odwołania do obiektu (IDOR) w funkcji create_or_update() oraz braku weryfikacji roli w OsAuthHelper::authorize_customer(). Uwierzytelniony atakujący z poziomem dostępu Agenta może podmienić adres e-mail dowolnego klienta, w tym powiązanego z kontem administratora, a następnie zalogować się na to konto.
Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie jest podatna na przechowywany atak Cross-Site Scripting (XSS) poprzez parametr tablicy '_name[]'. Brak odpowiedniej sanitizacji wejścia i eskapowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonują się przy dostępie do zainfekowanej strony.
Wtyczka WP Photo Album Plus dla WordPressa zawiera podatność na trwałe ataki XSS przez parametr 'subtext' w wersjach do 9.1.13.005 włącznie. Brak odpowiedniej sanitacji wejścia i ucieczki wyjścia umożliwia uwierzytelnionym atakującym z dostępem na poziomie współautora i wyższym wstrzyknięcie dowolnych skryptów.
Brak autoryzacji w Woffice umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów bezpieczeństwa kontroli dostępu. Podatność dotyczy wersji przed 5.4.33.
Wtyczka MotoPress Appointment Booking dla WordPressa jest podatna na ogólne wstrzykiwanie SQL przez parametr 's' we wszystkich wersjach do 2.4.5 włącznie. Podatność wynika z niedostatecznego oczyszczania parametru i braku odpowiedniego przygotowania zapytania SQL, co umożliwia uwierzytelnionym atakującym z dostępem na poziomie niestandardowym i wyższym dołączanie dodatkowych zapytań SQL do istniejących.
Wtyczka VikBooking Hotel Booking Engine & PMS dla WordPressa jest podatna na odbite ataki typu Cross-Site Scripting (XSS) poprzez parametr 'layoutstyle' we wszystkich wersjach do 1.8.12 włącznie. Podatność wynika z niewystarczającego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Podatność w bibliotece CGI::Session::ID::md5 dla Perla przed wersją 4.49 generuje przewidywalne identyfikatory sesji z niskoentropijnych źródeł. Metoda generate_id tworzy identyfikator sesji z MD5 sumy PID, czasu epoki i funkcji rand(), które są łatwe do odgadnięcia.
W urządzeniach SkyBridge MB-A100/MB-A110 stwierdzono podatność na wstrzykiwanie poleceń systemu operacyjnego. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach OS.

