Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w bibliotece http-proxy-middleware dla Node.js umożliwia atakującemu ominięcie konfiguracji routingu proxy poprzez spreparowanie nagłówka Host, który jest nadciągiem (superstring) dla skonfigurowanego klucza host+path. Problem występuje w wersjach od 0.16.0 do 2.0.10, 3.0.6 i 4.1.0, a został naprawiony w wersjach 2.0.10, 3.0.6 i 4.1.0.
W bibliotece piscina, przed wersjami 6.0.0-rc.2, 5.2.0 i 4.9.3, występowała podatność związana z odczytem opcji filename, co mogło prowadzić do wykonania złośliwego kodu w wątkach roboczych.
Hono to framework aplikacji webowej, który przed wersją 4.12.25 miał lukę w middleware CORS. Przy ustawieniu 'credentials: true' i braku wyraźnie określonego pochodzenia, middleware odzwierciedlało pochodzenie żądania, co pozwalało na wykonywanie uwierzytelnionych żądań międzydomenowych przez dowolne strony.
Podatność w frameworku Starlette od wersji 0.4.1 do 1.3.1 powoduje, że limity max_fields i max_part_size dla request.form() są stosowane tylko dla multipart/form-data, ale ignorowane dla application/x-www-form-urlencoded. Nieuwierzytelniony atakujący może wysłać ciało żądania z dowolnie dużą liczbą pól lub dowolnie dużym polem, omijając skonfigurowane ograniczenia.
W bibliotece AIOHTTP przed wersją 3.14.1 zasoby ładunku (payload) nie są poprawnie zamykane, gdy klient rozłączy się w trakcie zapisu. Może to prowadzić do tymczasowego wyczerpania zasobów, takich jak otwarte pliki, do momentu ich zwolnienia przez garbage collector.
W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.
W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości ominięcia sprawdzenia TLS SNI dla parametru server_hostname podczas ponownego użycia istniejącego połączenia. Jeśli aplikacja wykonuje wiele żądań do tej samej domeny, ale z różnymi wartościami server_hostname, późniejsze wywołania mogą nieprawidłowo wykorzystać wcześniejsze połączenie, zamiast zostać odrzucone.
Podatność w frameworku AIOHTTP przed wersją 3.14.1 umożliwia atakującemu ominięcie limitów pamięci poprzez wysyłanie dużych, niekompletnych ramek WebSocket. Może to prowadzić do nadmiernego zużycia pamięci i potencjalnego wyczerpania zasobów serwera.
W bibliotece AIOHTTP przed wersją 3.14.1 nie było limitu liczby żądań potokowych (pipelined), które mogły być kolejkowane. Atakujący może wykorzystać to do przeciążenia pamięci, co może prowadzić do ataku typu DoS.
W protobufjs-cli, przed wersjami 1.3.2 i 2.5.0, występowała niekompletna poprawka dotycząca niebezpiecznego przetwarzania nazw w generowaniu kodu statycznego. Affected versions mogły emitować niebezpieczne odniesienia JavaScript podczas generowania statycznego wyjścia z przygotowanego wejścia JSON.
Vite to framework narzędziowy dla JavaScript, który przed wersjami 8.0.16, 7.3.5 i 6.4.3 mógł zwracać zawartość plików określonych przez server.fs.deny do przeglądarki na systemie Windows. Problemy z normalizacją ścieżek NTFS ADS pozwalały na nieautoryzowany dostęp do wrażliwych plików.
Podatność w bibliotece Python-Multipart przed wersją 0.0.30 powoduje kwadratową złożoność obliczeniową podczas parsowania treści typu application/x-www-form-urlencoded z separatorem średnika. Atakujący może wysłać małe, spreparowane żądanie zawierające wiele pól oddzielonych średnikami, co prowadzi do znacznego obciążenia procesora i potencjalnego wyczerpania zasobów.
W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.
W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w współdzielonym stanie TransferState. Może to prowadzić do wycieku danych między użytkownikami przez warstwy buforujące, takie jak CDN czy proxy.
Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań z serwera do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co pozwala na atak SSRF.
Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.
Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.
IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty są podatne na zdalne wykonanie kodu oraz odmowę usługi, gdy używają Intelligent Management z komponentem WebSphere WebServer Plug-in. Atakujący może wykorzystać tę podatność, podszywając się pod serwery zaplecza i wysyłając spreparowane odpowiedzi do wtyczki.

