Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, sanitizator HTML Lute'a nie usuwał elementów <iframe>, co pozwalało atakującemu na umieszczenie złośliwego <iframe> w README pakietu Bazaar, który mógł wykonywać dowolne polecenia na maszynie ofiary.
Podatność w systemie SiYuan przed wersją 3.7.0 umożliwia wykonanie kodu JavaScript w kontekście administratora poprzez renderowanie README pakietu Bazaar. Luka wynika z niekompletnej listy dozwolonych atrybutów zdarzeń w silniku sanitizującym lute, który przepuszcza nowoczesne procedury obsługi zdarzeń (np. onpointerover, onpointerdown).
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach przed 3.7.0, podatność pozwalała na odczyt dowolnych plików w WorkspaceDir przez nieautoryzowanego atakującego, wykorzystując podwójne kodowanie URL w trasie /assets/*path.
Sentry to narzędzie do śledzenia błędów i monitorowania wydajności. W wersjach od 24.4.0 do 26.5.2 występuje podatność na atak typu ReDoS (Regular Expression Denial of Service) w potoku przetwarzania zdarzeń, gdzie wyrażenie regularne zastosowane do pól kontrolowanych przez atakującego może spowodować nadmierne zużycie czasu procesora.
Appsmith przed wersją 2.1 udostępnia interfejs XML-RPC supervisorda na porcie 9001, który jest osiągalny z zewnątrz kontenera przez odwrotne proxy Caddy na ścieżce /supervisor/*. W połączeniu z hasłem APPSMITH_SUPERVISOR_PASSWORD ujawnianym przez GET /api/v1/admin/env, każdy uwierzytelniony administrator może wysyłać dowolne wywołania XML-RPC do supervisorda i wykonywać polecenia systemowe w kontenerze Docker za pomocą twiddler.addProgramToGroup.
Podatność w GIMP umożliwia zdalne wykonanie kodu przez przepełnienie bufora sterty podczas parsowania plików HDR. Atak wymaga interakcji użytkownika, który musi otworzyć złośliwy plik lub odwiedzić stronę.
Podatność w MosaicML Composer umożliwia zdalne wykonanie dowolnego kodu poprzez deserializację niezaufanych danych. Wymagana jest interakcja użytkownika, aby wykorzystać tę podatność, co oznacza, że ofiara musi odwiedzić złośliwą stronę lub otworzyć złośliwy plik.
W instalatorze HP Accessory WMI Provider dla niektórych stacji dokujących HP wykryto potencjalną lukę bezpieczeństwa, która może umożliwić eskalację uprawnień i/lub zdalne wykonanie kodu. Firma HP udostępnia aktualizacje oprogramowania w celu złagodzenia tego zagrożenia.
W Gogs przed wersją 0.14.3, mechanizm przechowywania plików LFS używa wyłącznie identyfikatora OID do adresowania treści, ale autoryzacja dostępu do repozytorium jest sprawdzana na podstawie pary (repo_id, oid). Funkcja serveUpload pomija ponowne przesyłanie pliku, jeśli plik o danym OID już istnieje na dysku, i dodaje nowy rekord (repo_id, oid) wskazujący na ten plik bez weryfikacji, czy treść żądania faktycznie odpowiada deklarowanemu OID. Użytkownik z prawem zapisu do jednego repozytorium może powiązać swoje repozytorium z plikiem OID należącym do prywatnego repozytorium i pobrać oryginalne dane przez własny punkt końcowy.
Gogs to otwartoźródłowa usługa Git hostowana na własnym serwerze. W wersjach przed 0.14.3, usługa Git smart HTTP autoryzowała POST …/git-receive-pack przy użyciu ciągu zapytania dostarczonego przez klienta, co pozwalało na wykonanie operacji push tam, gdzie powinno być dozwolone tylko odczyt.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała trzy punkty końcowe API, które były zabezpieczone przez reqRepoWriter() zamiast reqRepoAdmin(). Umożliwia to współpracownikom z poziomem dostępu niższym niż administrator na wykonywanie nieautoryzowanych operacji.
W Gogs przed wersją 0.14.3 wykryto podatność SSRF w funkcji migracji repozytorium. Aplikacja waliduje tylko początkowy host URL-a, ale operacja git clone --mirror podąża za przekierowaniami HTTP. Uwierzytelniony użytkownik może przesłać publiczny URL, który przekierowuje do wewnętrznego punktu końcowego (np. 127.0.0.1), importując zawartość wewnętrznego repozytorium do repozytorium kontrolowanego przez atakującego.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała lukę w funkcjonalności ustawień lustrzanych, umożliwiającą uwierzytelnionym użytkownikom import lokalnych repozytoriów bez odpowiedniej ochrony. Problem wynikał z braku walidacji funkcji SaveAddress.
Gogs przed wersją 0.14.3 umożliwia zarządzanie członkami zespołów organizacji za pomocą żądań GET bez ochrony CSRF. Atakujący może wykorzystać tę podatność, nakłaniając zalogowanego właściciela organizacji do odwiedzenia spreparowanego linku, co skutkuje dodaniem kontrolowanego przez atakującego użytkownika do zespołu Owners i uzyskaniem uprawnień właściciela organizacji.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 umożliwiała pobieranie załączników bez weryfikacji uprawnień użytkownika. Użytkownicy nieautoryzowani mogli pobierać załączniki z prywatnych repozytoriów.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 miała lukę umożliwiającą wykonanie złośliwego kodu JavaScript. Mimo że podglądy plików .ipynb były sanitizowane po stronie serwera, ich zawartość była ponownie renderowana po stronie klienta bez odpowiedniej sanitizacji, co prowadziło do możliwości wykonania ataku XSS.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.0 pozwalała autoryzowanym użytkownikom na manipulowanie wartością przekazywaną do polecenia git diff. Dzięki temu, użytkownik mógł ominąć filtrację wartości i zapisać wynik porównania w dowolnej lokalizacji.
Mastodon przed wersjami 4.5.11, 4.4.18 i 4.3.24 zawiera podatność typu DoS spowodowaną brakiem obsługi wyjątków w sanitarze matematycznym. Złośliwe węzły <math> mogą prowadzić do awarii całego serwera lub usług użytkowników, w zależności od interakcji z tymi węzłami.
Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.3, poprawka dla CVE-2022-1285 uniemożliwiała dodawanie webhooków lub uruchamianie ich z adresami URL, których nazwa hosta rozwiązuje się w localCIDRs. Niemniej jednak, webhooki nadal podążają za przekierowaniami, co pozwala na dostęp do nazw hostów wewnątrz localCIDRs.
Podatność w Rocket.Chat przed wersjami 8.5.0, 8.4.1, 8.3.3, 8.2.3, 8.1.4, 8.0.5, 7.13.7 i 7.10.11 pozwala atakującemu na modyfikację dowolnego pola w swoim rekordzie przesłanego pliku. Dzieje się tak, ponieważ metoda DDP sendFileMessage przekazuje cały obiekt pliku do Uploads.updateFileComplete, który scala go bezpośrednio z aktualizacją MongoDB $set za pomocą Object.assign, bez listy dozwolonych pól.

