Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
FlatPress zawiera podatność na przechowywane ataki typu cross-site scripting w formularzach komentarzy i kontaktowych, gdzie pola imienia, URL i e-mail są renderowane bez odpowiedniego kodowania wyjściowego w szablonach Smarty. Atakujący mogą wstrzykiwać dowolny HTML i JavaScript przez te pola.
Podatność w module 'tarfile' języka Python występuje podczas otwierania archiwum w trybie strumieniowym (mode='r|'). Moduł nieprawidłowo obsługuje koniec pliku (EOF), co powoduje wykładnicze wydłużenie czasu parsowania archiwum.
Podatność w jackson-databind pozwala na ominięcie listy dozwolonych typów (allowlist) w BasicPolymorphicTypeValidator. Metoda allowIfSubTypeIsArray() zezwala na dowolny typ tablicowy bez walidacji typu elementu, co umożliwia deserializację niebezpiecznych typów, takich jak EvilType[], nawet jeśli EvilType nie znajduje się na liście dozwolonych.
Podatność w jackson-databind pozwala na ominięcie mechanizmu PolymorphicTypeValidator (PTV) podczas deserializacji polimorficznej. Gdy typ zawiera parametry generyczne (np. ArrayList<Gadget>), walidacja sprawdza tylko nazwę kontenera, a nie typów zagnieżdżonych, co umożliwia załadowanie niebezpiecznej klasy jako parametru generycznego.
Podatność w jackson-databind od wersji 2.13.0 do 2.14.0 umożliwia atak DoS poprzez wysłanie głęboko zagnieżdżonego JSON-a (tysiące poziomów) odczytywanego jako JsonNode i zapisywanego za pomocą toString(). Nawet niewielkie żądania (1000 zagnieżdżonych tablic to 2kB) mogą znacząco obciążyć zasoby systemowe.
NocoDB przed wersją 2026.05.1 ma podatność, która pozwala użytkownikom z rolą edytora na wstrzyknięcie złośliwego kodu JavaScript poprzez pole redirect_url formularza. Po otwarciu linku udostępnionego przez uwierzytelnionego użytkownika, kod ten może zostać wykonany w kontekście NocoDB.
NocoDB przed wersją 2026.05.1 pozwalał uwierzytelnionym komentatorom na przechowywanie HTML w komentarzach wierszy, co skutkowało wykonaniem skryptu podczas najeżdżania kursorem na komentarz w widoku rozszerzonym. Brak sanitizacji po stronie serwera umożliwiał wstrzykiwanie złośliwego kodu.
Spring Statemachine posiada podatność w backendach opartych na Kryo, które deserializują konteksty maszyn stanowych bez egzekwowania listy dozwolonych klas. Może to prowadzić do zdalnego wykonania kodu w JVM aplikacji.
W FOSSBilling w wersjach 0.7.2 i wcześniejszych, w punktach końcowych listy klientów, błąd w konstrukcji zapytań umożliwiał uwierzytelnionym klientom ominięcie ograniczeń dzierżawy i pobranie danych innych klientów. Problem wynikał z nieprawidłowego grupowania filtrów w zapytaniach, co pozwalało na niezależne wykonanie klauzul OR od wymuszonego ograniczenia client_id.
W serwerze foreman-mcp-server wykryto podatność w zarządzaniu sesjami. Niezautoryzowani atakujący mogą przejąć aktywne sesje administracyjne z powodu nieprawidłowego buforowania uwierzytelnionych połączeń, ufania niejawnemu identyfikatorowi sesji bez ponownej weryfikacji tokenów oraz logowania wszystkich nowo utworzonych identyfikatorów sesji do standardowych logów.
W Traefik w wersjach od 3.7.0-ea.1 do 3.7.5 wykryto podatność średniego ryzyka w dostawcy Kubernetes Ingress NGINX. Gdy Ingress jawnie włącza BasicAuth lub DigestAuth przez adnotacje auth-type i auth-secret, ale referencjonowany Secret nie może zostać rozwiązany lub sparsowany, Traefik loguje błąd, pomija instalację middleware uwierzytelniającego i nadal emituje router do backendu. Skutkuje to opublikowaniem chronionej trasy bez kontroli dostępu, umożliwiając nieautoryzowany dostęp.
Podatność w Traefiku (wersje przed 3.6.21 i 3.7.5) w dostawcy Kubernetes Gateway dotyczy mechanizmu dozwolonych przestrzeni nazw (crossProviderNamespaces). Dla reguł HTTPRoute z wieloma backendRefs (WRR) Traefik błędnie sprawdza dozwoloną listę względem docelowej przestrzeni nazw backendRef, a nie przestrzeni nazw samej trasy. Umożliwia to HTTPRoute z niedozwolonej przestrzeni nazw odwołanie się do wewnętrznych usług Traefika (np. api@internal) poprzez wskazanie backendRef.namespace na dozwoloną przestrzeń nazw objętą ReferenceGrant.
Podatność w narzędziu rtk (wersje przed 0.42.2) umożliwiała ominięcie mechanizmu kontroli uprawnień poprzez ukrycie drugiego polecenia w konstrukcjach powłoki Bash, które nie były prawidłowo rozdzielane ani odrzucane. Polecenie zaczynające się od dozwolonego prefiksu (np. 'git') mogło zawierać ukryte polecenie, które było wykonywane bez wymaganej autoryzacji użytkownika.
Pi to minimalny zestaw narzędzi do kodowania w terminalu. W wersjach od 0.74.0 do 0.78.1, instalacje tymczasowych pakietów npm lub git używały przewidywalnych ścieżek w systemowym katalogu tymczasowym, co umożliwiało lokalnemu atakującemu wstrzyknięcie złośliwego kodu.
W Pivotal CRM w wersji 6.6.04.08 występuje problem, który pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez komponenty Pivotal.Core.Common.dll oraz Pivotal.Engine.Client.Services.Conversion.dll.
W wersjach przed 0.185.0, Daytona pozwalała na aktualizację i usuwanie ról organizacji bez weryfikacji, czy rola należy do danej organizacji. Użytkownik uwierzytelniony, będący właścicielem jakiejkolwiek organizacji, mógł zmodyfikować uprawnienia lub usunąć rolę należącą do innej organizacji, korzystając z identyfikatora tej roli.
W wersjach od 0.101.0 do 0.184.0, sandboxy, które zostały przełączone z publicznych na prywatne, mogły pozostać dostępne bez uwierzytelnienia przez krótki czas po zmianie, z powodu nieunieważnionego stanu widoczności w pamięci podręcznej.
W wersjach przed 0.184.0, użytkownicy mogli akceptować lub odrzucać zaproszenia do organizacji, nawet jeśli ich adres e-mail nie był zweryfikowany. System autoryzacji Daytona nie wymagał weryfikacji e-maila dla tych akcji, co stwarzało ryzyko nieautoryzowanego dostępu.
Crawl4AI przed wersją 0.8.9 zawiera podatność SSRF, która pozwala nieuwierzytelnionemu atakującemu na ominięcie sprawdzania docelowego adresu URL i skierowanie ruchu przez proxy na wewnętrzne adresy IP. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wewnętrznych usług i punktów końcowych metadanych chmury, podając prawidłowy adres URL do przeszukania.
Crawl4AI przed wersją 0.8.8 zawiera podatność SSRF w serwerze API Docker, która pozwala atakującemu ominąć blokadę CIDR i uzyskać dostęp do wewnętrznych usług oraz endpointów metadanych chmury (np. 169.254.169.254) poprzez kodowanie adresu IPv4 w formie przejściowej IPv6 lub użycie adresu nieokreślonego IPv6. Ponieważ API Docker jest domyślnie nieuwierzytelnione, atak nie wymaga żadnych poświadczeń.

