Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W Deno przed wersją 2.8.1 funkcja fetch() sprawdzała nazwę hosta docelowego względem reguł --deny-net, ale nie weryfikowała adresów IP, na które ta nazwa została rozwiązana. Skrypt atakującego mógł użyć specjalnie spreparowanej domeny, która przechodzi kontrolę nazwy hosta, ale rozwiązuje się na zabroniony adres IP, całkowicie omijając ograniczenia sieciowe.
W Deno przed wersją 2.8.0, w kompatybilności z Node.js, sprawdzanie uprawnień dla ścieżki TCP odbywało się tylko na podstawie oryginalnej nazwy hosta przed rozdzieleniem, a po rozdzieleniu nie było ponownie weryfikowane. Osoba atakująca mogła przekazać numeryczny alias adresu IP (np. liczbę całkowitą 2130706433 lub postać szesnastkową 0x7f000001, które rozdzielają się na 127.0.0.1) i ominąć blokadę, używając opcji { host, port } w node:net.connect lub node:http.request.
W trybie BYONM (nodeModulesDir: "manual") w Deno przed wersją 2.7.12, moduł rozpoznający nie sprawdzał, czy rozpoznany punkt wejścia pakietu pozostaje w jego katalogu node_modules/<pkg>/. Złośliwy plik package.json z polem main zawierającym segmenty .. mógł wskazywać na dowolną ścieżkę na dysku, a resolver odczytywał ten plik bez uwzględniania listy dozwolonych ścieżek --allow-read. Pozwalało to wywołaniu require("evil-pkg") zwrócić zawartość pliku, którego bezpośrednie odczytanie przez Deno.readTextFileSync(...) byłoby zablokowane.
Podatność w serwerze Caddy w wersjach od 2.4.0 do 2.11.3 wynika z niezgodności między warstwą autoryzacji a warstwą nawigacji po ścieżce /config. Warstwa autoryzacji używa dopasowania prefiksu ciągu znaków, podczas gdy warstwa nawigacji interpretuje indeksy tablic numerycznie za pomocą strconv.Atoi(), co prowadzi do błędnego rozpoznania obiektu konfiguracji. Problem został naprawiony w wersji 2.11.3.
Podatność w module configparser umożliwia wstrzyknięcie nieoczekiwanych kluczy i wartości do plików konfiguracyjnych podczas zapisywania wartości wieloliniowych zawierających znaki powrotu karetki ( ). Atakujący może kontrolować zapisywaną wartość, co prowadzi do manipulacji treścią pliku.
Podatność w bibliotece MuPDF przed wersją 1.27.0-rc1 umożliwia atakującemu zdalne spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku EPUB z głęboko zagnieżdżonymi elementami HTML i stylami CSS inline. Problem wynika z niekontrolowanej rekurencji w funkcji value_from_inheritable_property() w pliku css-apply.c, która przeszukuje łańcuch dziedziczenia właściwości CSS bez ograniczenia głębokości, co prowadzi do przepełnienia stosu procesu i awarii aplikacji używającej MuPDF do renderowania EPUB.
Podatność w programach Adobe Acrobat i Reader umożliwia odczyt poza dozwolonym zakresem pamięci, co może prowadzić do ujawnienia wrażliwych danych. Atakujący może wykorzystać ten błąd do uzyskania dostępu do poufnych informacji, ale wymaga to otwarcia przez ofiarę specjalnie spreparowanego pliku.
Podatność polegająca na odczycie poza dozwolonym zakresem pamięci w programie Acrobat Reader, która może prowadzić do ujawnienia wrażliwych danych. Atak wymaga interakcji użytkownika, który musi otworzyć złośliwy plik.
Podatność w dhcpcd do wersji 10.3.2, załatana w commicie 78ea09e, zawiera błąd use-after-free w obsłudze gniazda kontrolnego w src/control.c. Lokalny, nieuprzywilejowany atakujący może wywołać uszkodzenie pamięci, gdy wyłączona jest separacja uprawnień, wysyłając uprzywilejowane polecenie (np. -x) przez gniazdo kontrolne.
Podatność w dhcpcd do wersji 10.3.2 powoduje wyciek pamięci podczas obsługi informacji o trasach w reklamach routera IPv6. Nieuwierzytelniony atakujący z tej samej sieci może wysłać spreparowane reklamy routera, co prowadzi do wyczerpania pamięci i awarii demona.
Podatność w dhcpcd do wersji 10.3.2 (załatana w commicie 2f00c7b) umożliwia atakującemu w tej samej sieci zapis poza stosem o jeden bajt. Błąd występuje w funkcji dhcp6_makemessage() w pliku src/dhcp6.c podczas serializacji zbyt dużego ciała opcji OPTION_PD_EXCLUDE z RFC6603.
W dhcpcd do wersji 10.3.2 występuje podatność use-after-free w stercie, która pozwala nieuwierzytelnionym atakującym z tej samej sieci na zrzucenie demona poprzez wysłanie spreparowanej odpowiedzi DHCPv6 RENEW z opcją RFC6603 OPTION_PD_EXCLUDE i zerowymi czasami życia preferowanego i ważnego. Atakujący podszywający się pod serwer DHCPv6 może wywołać funkcję dhcp6_deprecatedele(), która zwalnia podrzędny adres delegowany, podczas gdy zewnętrzny iterator TAILQ_FOREACH_SAFE w dhcp6_deprecateaddrs() nadal przechowuje wskaźnik do zwolnionej pamięci, co prowadzi do use-after-free przy wywołaniu TAILQ_REMOVE.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. W wersjach przed 1.7.0 przycisk wylogowania nie usuwał sesji, co powodowało, że poprzedni użytkownik pozostawał zalogowany, chyba że inny użytkownik zalogował się explicite.
n8n to platforma automatyzacji przepływów pracy o otwartym kodzie źródłowym. Przed wersjami 2.25.7 i 2.26.2 podatność na zanieczyszczenie prototypu umożliwiała spreparowanemu ładunkowi publicznego webhooka wstrzyknięcie pól kontrolowanych przez atakującego do danych przepływu pracy podczas wewnętrznego kopiowania obiektów. Pola te mogły być ujawniane i konsumowane jako normalne wartości przez wbudowane węzły downstream.
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływów pracy mógł wstrzyknąć dowolny kod JavaScript do strony generowanej przez wyzwalacz czatu poprzez ustawienie złośliwego webhookId. Gdy zalogowany użytkownik odwiedził adres URL czatu, wstrzyknięty kod wykonywał się w kontekście pochodzenia n8n z uprawnieniami sesji tego użytkownika.
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływu pracy mógł skonfigurować węzeł Respond to Webhook tak, aby zwracał treści binarne z kontrolowanym przez atakującego nagłówkiem Content-Type. Ta ścieżka odpowiedzi binarnej omijała centralny nagłówek Content-Security-Policy sandbox, umożliwiając publicznemu webhookowi wykonanie JavaScript w kontekście pochodzenia n8n po odwiedzeniu przez uwierzytelnionego użytkownika, z dostępem do jego sesji.
Podatność w yt-dlp od wersji 2023.09.24 do 2026.06.09 powoduje wyciek ciasteczek do niezamierzonego hosta podczas korzystania z curl jako zewnętrznego narzędzia do pobierania. Problem występuje przy przekierowaniach HTTP lub gdy host fragmentów różni się od hosta manifestu nadrzędnego.
W Langflow przed wersją 1.10.0 funkcja „Shareable Playground” („Public Flows”) umożliwiała publiczne wykonywanie przepływów. Żądanie wykonania mogło zawierać listę plików odczytywanych przez Langflow i przekazywanych do modelu LLM, co pozwalało na odczyt dowolnych plików lokalnych lub z S3, w zależności od konfiguracji.
Podatność umożliwia użytkownikom na poziomie reklamodawcy aktywację lub dezaktywację banera w Revive Adserver 6.0.6 i wcześniejszych wersjach, nawet jeśli nie przyznano im takich uprawnień. Skrypt banner-edit.php pozwalał na nadpisanie statusu banera wyłącznie na podstawie uprawnień do edycji banera.
Brak kontroli dostępu podczas wywoływania różnych metod modyfikacji w API XML-RPC Revive Adserver w wersji 6.0.6 i wcześniejszych. API pozwalało na przypisywanie jednostek do różnych jednostek nadrzędnych, co prowadziło do niespójnych relacji własności.

