Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w bibliotece Ash umożliwia atakującemu ustawienie wartości prywatnego argumentu akcji, który powinien być kontrolowany wyłącznie przez zaufany kod serwerowy. Filtrowanie prywatnych argumentów jest niekompletne – w ścieżce zmian (changeset) pomijane są tylko klucze atomowe, a w ścieżce atomowej nie są pomijane w ogóle.
Wtyczka @rtk-ai/rtk-rewrite w wersji 1.0.0 nie zabezpiecza danych wejściowych przed interpretacją przez powłokę, co pozwala na wstrzyknięcie dowolnych poleceń systemowych. JSON.stringify() nie chroni przed metaznakami powłoki, takimi jak $() i backtick, które są wykonywane przez /bin/sh -c.
W wersjach przed 0.186 Daytona, referencja do woluminu sandbox (volumeId) była przekazywana do runnera, co mogło prowadzić do nieautoryzowanego dostępu do ścieżek poza zamierzonym katalogiem bazowym. Wykorzystanie sekwencji przechodzenia przez ścieżki mogło umożliwić zbudowanie ścieżki montowania hosta bez odpowiednich ograniczeń.
Biblioteka GNU libidn przed wersją 1.44 zawiera podatność na odczyty poza dozwolonym zakresem z niezainicjalizowanej pamięci w interfejsach API ToUnicode, spowodowaną błędnym przetwarzaniem w funkcji idna_to_unicode_internal. Kod podatności nie występuje w libidn2.
Podatność w Deno przed wersją 2.7.5 umożliwia zdalnemu serwerowi WebSocket spowodowanie awarii procesu Deno poprzez wysłanie odpowiedzi z nagłówkami Sec-WebSocket-Protocol lub Sec-WebSocket-Extensions zawierającymi nie-drukowalne znaki ASCII (0x80-0xFF). Błąd wynika z nieprawidłowego parsowania tych nagłówków, co prowadzi do paniki i zatrzymania całego procesu.
W Daytona, przed wersją 0.185.0, występowała luka w autoryzacji między najemcami w bramie WebSocket powiadomień, która pozwalała uwierzytelnionym użytkownikom na subskrypcję kanałów powiadomień w czasie rzeczywistym innej organizacji.
W wersjach przed 0.185.0, implementacja polecenia git clone w daemonie Daytona wyłączała weryfikację certyfikatów TLS. To umożliwiało atakującym przechwycenie ruchu i kradzież poświadczeń Git.
W Open WebUI przed wersją 0.8.11 występuje podatność, która pozwala atakującemu na ominięcie kontroli autoryzacji przy dołączaniu do pokoju dokumentu. Dzięki manipulacji identyfikatorem dokumentu, atakujący może uzyskać dostęp do prywatnych treści notatek ofiary.
Open WebUI przed wersją 0.9.6 zawiera podatność w trasach proxy Ollama, gdzie parametr url_idx jest używany jako surowy indeks do listy OLLAMA_BASE_URLS. Uwierzytelniony użytkownik może zmusić żądanie do dowolnego backendu Ollama, w tym wewnętrznych, uprzywilejowanych lub wyłączonych przez administratora, bez odpowiedniej autoryzacji.
Open WebUI to samodzielnie hostowana platforma sztucznej inteligencji, która przed wersją 0.9.6 wprowadziła kontrole ACL na poziomie kolekcji. Jednakże, w trybie wieloosobowym Milvus, te kontrole mogą być obejście, co prowadzi do potencjalnych zagrożeń związanych z nieautoryzowanym dostępem do zasobów.
Open WebUI to samodzielnie hostowana platforma sztucznej inteligencji, która przed wersją 0.9.6 miała podatność na złamanie autoryzacji na poziomie obiektów (BOLA) w narzędziu search_knowledge_files. Umożliwia to uwierzytelnionemu użytkownikowi dostęp do metadanych plików z prywatnych lub ograniczonych baz wiedzy bez odpowiednich uprawnień.
Open WebUI przed wersją 0.9.6 ma lukę, która pozwala uwierzytelnionym użytkownikom na dostęp do prywatnej historii podpowiedzi innych użytkowników. Problemy występują w punktach końcowych związanych z historią wersji podpowiedzi, które nie weryfikują, czy dany wpis historii należy do odpowiedniej podpowiedzi.
W Open WebUI przed wersją 0.9.6 występuje podatność typu path traversal w punkcie końcowym serwowania plików cache, która pozwala uwierzytelnionym użytkownikom na odczyt plików z sąsiednich katalogów poza zamierzonym katalogiem cache.
W Open WebUI przed wersją 0.9.6 występuje podatność, która pozwala uwierzytelnionemu użytkownikowi na dostęp do plików innych użytkowników poprzez manipulację parametrem image_url.url w żądaniu POST /api/chat/completions. Jeśli wartość ta nie zaczyna się od http://, https:// lub data:image/, jest interpretowana jako identyfikator pliku, co umożliwia odczytanie zawartości pliku bez sprawdzania uprawnień.
Open WebUI przed wersją 0.9.6 zawiera podatność polegającą na tym, że odbiorca wiadomości czatu akceptuje komunikaty `input:prompt` i `action:submit` pochodzące z innych domen. Zewnętrzna strona może ustawić tekst promptu i wywołać funkcję `submitPrompt()` w sesji uwierzytelnionego użytkownika, co prowadzi do nieautoryzowanych żądań POST do endpointów API.
W Open WebUI przed wersją 0.9.6 występuje luka, która pozwala użytkownikom z rolą zwykłego na przenoszenie wydarzeń między kalendarzami innych użytkowników bez odpowiednich uprawnień. Luka ta polega na braku walidacji identyfikatora kalendarza docelowego w żądaniu aktualizacji wydarzenia.
Caddy przed wersją 2.11.4 zawiera podatność w funkcji szablonowej stripHTML, która nie usuwa w sposób niezawodny wszystkich znaczników HTML z ciągów wejściowych. Nieprawidłowo sformatowany HTML, taki jak <<>img src=x onerror=alert()>, może ominąć logikę usuwania znaczników, potencjalnie pozostawiając niebezpieczną treść w danych wyjściowych.
W OpenStack Swift przed wersją 2.37.2 serwer proxy nie usuwa wewnętrznych nagłówków aktualizacji (X-Container-Host, X-Container-Device, X-Delete-At-Host, X-Delete-At-Device) z żądań klientów przed przekazaniem ich do serwerów obiektów. Uwierzytelniony użytkownik z dostępem do zapisu może wstrzyknąć te nagłówki, aby przekierować żądania aktualizacji kontenera na kontrolowany przez atakującego serwer, co umożliwia fałszowanie żądań po stronie serwera (SSRF).
W Deno przed wersją 2.8.1 funkcja process.loadEnvFile() nie respektuje ograniczeń uprawnień środowiskowych (--deny-env). Pozwala to na zapisanie zmiennych z pliku .env do procesu nawet gdy dostęp do środowiska jest zabroniony.
W Deno przed wersją 2.8.1, podczas nawiązywania połączenia WebSocket, sprawdzano tylko nazwę hosta docelowego względem reguł --deny-net, ale nie weryfikowano adresów IP, na które ta nazwa się rozwiązywała. Skrypt atakującego może użyć specjalnie spreparowanej domeny, która przechodzi kontrolę nazwy hosta, ale rozwiązuje się na zabroniony adres IP, całkowicie omijając ograniczenia sieciowe.

