Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Rocket.Chat przed wersją 8.5.0 nie weryfikuje podpisu w wiadomościach LogoutRequest w integracji SAML. Nieautoryzowany atakujący może stworzyć fałszywe żądanie wylogowania, co prowadzi do natychmiastowego zakończenia sesji ofiary.
AutoGPT, platforma do automatyzacji procesów, ma podatność na atak typu Denial of Service (DoS) w wersjach przed 0.6.52. Blok Fill Text Template nie ogranicza złożoności obliczeniowej ani czasu wykonania wyrażeń, co pozwala atakującemu na wprowadzenie kosztownych obliczeniowo wyrażeń Python/Jinja2, prowadząc do zawieszenia lub awarii systemu.
Gogs to otwartoźródłowa usługa Git, która przed wersją 0.14.3 akceptowała nagłówek uwierzytelniający bez weryfikacji, czy żądanie pochodzi z zaufanego proxy odwrotnego. To pozwalało atakującym na podszywanie się pod użytkowników lub automatyczne tworzenie kont.
Interfejs internetowy Aclara Metrum Cellular jest podatny na nieautoryzowany dostęp z powodu braku kontroli uwierzytelniania w krytycznych funkcjach systemowych. Ta luka umożliwia atakującym modyfikację ustawień konfiguracyjnych oraz wywoływanie restartów systemu bez ograniczeń.
W pakiecie safepath projektu KubeVirt, używanym przez komponent virt-handler, wykryto lukę w funkcji OpenAtNoFollow. Funkcja ta używa flag O_PATH|O_NOFOLLOW do uzyskania deskryptora pliku, ale późniejsze operacje rozwijają ścieżkę przez /proc/self/fd/N z użyciem wywołań systemowych podążających za dowiązaniami symbolicznymi. Gdy liść ścieżki jest dowiązaniem symbolicznym, jądro je dereferencjonuje, omijając zamierzoną ochronę przed podążaniem za dowiązaniami.
W AngularJS wykryto usterkę w logice Strict Contextual Escaping (SCE), która umożliwia ominięcie polityk bezpieczeństwa dla adresów URL zasobów. Może to prowadzić do dowolnego wykonania kodu JavaScript w kontekście sesji przeglądarki ofiary.
Twenty to otwartoźródłowa platforma CRM, która przed wersją 2.9.0 była podatna na niebezpieczne bezpośrednie odniesienie do obiektów (IDOR) w monitorze agenta AI. W wyniku tej podatności, uwierzytelniony użytkownik mógł uzyskać dostęp do pełnej historii czatu innego użytkownika w tej samej instancji, wykorzystując agentId lub turnId.
Mastodon przed wersjami 4.5.10, 4.4.17 i 4.3.23 ma lukę, która pozwala na nieprawidłowe rozpoznawanie adresów IPv4-mapped IPv6, co może prowadzić do otwarcia połączeń TCP do prywatnych adresów IPv4. Atakujący mogą wykorzystać tę lukę, publikując odpowiednie rekordy DNS.
Mastodon, serwer społecznościowy oparty na ActivityPub, przed wersjami 4.5.10, 4.4.17 i 4.3.23 miał lukę w liście zablokowanych zakresów adresów IP, co umożliwiało atakującym wykonywanie żądań HTTP do interfejsów loopback. Może to prowadzić do nieautoryzowanego dostępu do prywatnych zasobów i usług.
FOSSBilling w wersjach 0.7.2 i wcześniejszych ma lukę w API, która pozwala uwierzytelnionym klientom na dostęp do danych innych klientów poprzez zgadywanie identyfikatorów zamówień. Metoda __call w API nie weryfikuje, czy klient posiada zamówienie, co może prowadzić do ujawnienia danych osobowych.
Biblioteka py7zr, używana do kompresji i dekompresji archiwów 7zip, zawiera podatność na zapis dowolnych plików w wersjach 1.1.2 i niższych. Umożliwia to atakującym tworzenie złośliwych archiwów, które mogą przywracać dowiązania symboliczne do dowolnych katalogów w systemie plików.
Klient ActivityPub w aplikacji Ghost był podatny na wstrzykiwanie JavaScript w postach udostępnianych przez złośliwie skonfigurowany serwer ActivityPub przed wersją 3.1.0. Ta podatność została naprawiona w wersji 3.1.0.
Podatność w Jellyfin od wersji 10.9.0 do 10.11.9 umożliwia uwierzytelnionym użytkownikom niebędącym administratorami zapisanie dowolnych plików na serwerze poprzez manipulację polem Client w nagłówku Authorization. Atakujący może użyć sekwencji ../ w tym polu, aby nadpisać pliki w dowolnych lokalizacjach dostępnych dla usługi Jellyfin, z wymuszonym rozszerzeniem .log.
Podatność w Jellyfin przed wersją 10.11.10 umożliwia wstrzyknięcie argumentów do FFmpeg przez specjalnie spreparowaną nazwę pliku napisów. Atakujący bez uwierzytelnienia może wykorzystać brak normalizacji ścieżki w SubtitleEncoder, co prowadzi do zapisu dowolnych plików na serwerze i ujawnienia informacji.
Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome na systemie Windows przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 149.0.7827.197 umożliwia lokalnemu atakującemu wykonanie dowolnego kodu w obrębie piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego urządzenia peryferyjnego.
W Google Chrome przed wersją 149.0.7827.197 występowała podatność na odczyt i zapis poza dozwolonym zakresem w Blink>InterestGroups, co pozwalało zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Blink w Google Chrome przed wersją 149.0.7827.197 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

