Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W dotCMS Core w wersjach od 25.11.04-1 do 26.04.28-02 występuje podatność na SQL Injection w punktach końcowych API Publish Audit, co pozwala zdalnym, nieautoryzowanym atakującym na odczyt, modyfikację lub zniszczenie dowolnej zawartości bazy danych.
Błąd w kontroli dostępu pozwala nieautoryzowanym użytkownikom na dostęp do danych systemowych, w tym przeglądanie i modyfikowanie informacji konfiguracyjnych.
W podatności CVE-2025-12686 występuje błąd przepełnienia bufora w AdminCenter systemu operacyjnego Synology BeeStation przed wersją 1.3.2-65648. Umożliwia on zdalnym atakującym wykonanie dowolnego kodu poprzez nieokreślone wektory.
Wtyczka Logowanie z OTP dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do 1.6 włącznie. Problem wynika z niekompletnej poprawki dla CVE-2024-11178, co umożliwia atakującym brute-force na 6-cyfrowy OTP bez limitu czasowego.
Podatność w bibliotece HTTP::Daemon dla Perla przed wersją 6.17 umożliwia wstrzyknięcie poleceń systemowych przez funkcję send_file(). Funkcja ta otwiera argumenty za pomocą dwuargumentowej formy open(), która interpretuje prefiksy takie jak '| cmd' jako potok do podprocesu, co pozwala atakującemu na wykonanie dowolnych poleceń.
Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 10.5.2, mechanizm aktualizacji WebSocket dla punktów końcowych /exec i /attach akceptował żądania z dowolnego źródła, co prowadziło do możliwości przejęcia WebSocketów (CSWSH) przy użyciu ważnych ciasteczek JWT.
Serwer GitLab MCP pozwala agentowi AI na bezpośrednią komunikację z GitLabem. W wersjach przed 0.6.0 transport HTTP nie zawierał warstwy uwierzytelniającej oraz miał wildcard Access-Control-Allow-Origin: * w każdej odpowiedzi, co stwarzało poważne luki w zabezpieczeniach.
Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała system nadpisywania komponentów, który mógł być obejściem. Użytkownicy mogli dostarczać kod TSX, który był przetwarzany i mógł uzyskać dostęp do niebezpiecznych globalnych obiektów, takich jak fetch czy window.
Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała lukę w punkcie końcowym tworzenia serwera MCP. Polecenie było walidowane, ale argumenty przekazywane do procesu podrzędnego nie były weryfikowane, co umożliwiało zalogowanym użytkownikom wykonywanie dowolnego kodu na poziomie systemu operacyjnego.
W aplikacji Lumiverse przed wersją 0.9.7 występuje podatność, która pozwala na wykonanie dowolnych poleceń na serwerze Lumiverse. Problem wynika z braku walidacji w metodzie toSmbPath, co umożliwia wstrzyknięcie złośliwych komend przez nieodpowiednio sformatowaną nazwę pliku.
Lumiverse to aplikacja czatu AI, która przed wersją 0.9.7 miała lukę w rozszerzeniu Spindle. Wykonywanie polecenia 'bun install' bez flagi --ignore-scripts umożliwia złośliwym rozszerzeniom uruchomienie kodu na poziomie hosta w momencie instalacji przez administratora.
FastNetMon Community Edition do wersji 1.2.9 zawiera błąd przepełnienia bufora w klasie dynamic_binary_buffer_t, który pozwala na zapisanie jednego bajta poza końcem bufora. Błąd ten występuje w pięciu metodach, które nieprawidłowo sprawdzają granice bufora.
IBM Engineering Lifecycle Management w wersjach 7.0.3, 7.1.0 i 7.2.0 może umożliwić nieautoryzowanemu zdalnemu atakującemu aktualizację plików konfiguracyjnych serwera, co pozwala na uzyskanie nieautoryzowanego dostępu do aplikacji.
Serwer HTTP IBM w wersjach 8.5 i 9.0 jest podatny na atak typu denial of service oraz potencjalne zdalne wykonanie kodu z powodu niewłaściwej walidacji danych wejściowych.
Wtyczki serwera WWW dla IBM WebSphere Application Server i WebSphere Liberty w wersjach 8.5 i 9.0 są podatne na zdalne wykonanie kodu poprzez specjalnie przygotowane żądanie.
Eppendorf BioFlo 320 jest podatny na atak z powodu serwera VNC używającego twardo zakodowanego hasła. Zdalny atakujący, znając adres sieciowy dowolnego modelu BioFlo 320 z włączonym zdalnym dostępem, może uzyskać pełną kontrolę nad interfejsem użytkownika, wykorzystując to hasło.
Kavita to serwer do czytania działający na różnych platformach. W wersjach przed 0.9.0.2 występowała luka związana z niewłaściwą walidacją tokenów, która pozwalała zdalnemu, nieautoryzowanemu atakującemu na żądanie JWT dla dowolnego użytkownika, w tym administratorów, znając ich nazwę użytkownika.
W systemie CRM Twenty, w wersjach od 1.7.7 do 1.16.7, występuje krytyczna podatność na zdalne wykonanie kodu (RCE) poprzez połączoną injekcję SQL oraz atak PostgreSQL COPY TO PROGRAM. Użytkownik z uprawnieniami superużytkownika w PostgreSQL może umożliwić dowolnemu uwierzytelnionemu użytkownikowi wykonanie arbitralnych poleceń systemowych na serwerze bazy danych.
FACTION to framework do generowania raportów z testów penetracyjnych. W wersjach przed 1.8.3, AccessControlInterceptor nie sprawdzał ważności sesji, co umożliwiało nieautoryzowanym atakującym dostęp do szablonów w systemie.
Nieprawidłowa kontrola dostępu umożliwia eskalację uprawnień poprzez edytowanie punktu końcowego usługi internetowej grupy com_users.

