Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w bibliotece Guzzle (PHP HTTP client) w wersjach przed 7.12.1 powoduje, że w określonych konfiguracjach ruch sieciowy, który powinien być chroniony przez TLS na odcinku do proxy, jest przesyłany w postaci jawnego tekstu. Dotyczy to sytuacji, gdy używane są wbudowane handlery cURL (CurlHandler lub CurlMultiHandler) z libcurl starszym niż 7.50.2, a jako proxy skonfigurowano adres https:// — wówczas libcurl milcząco traktuje to proxy jako http://, nie nawiązując szyfrowanego połączenia.
W n8n przed wersją 2.24.0, endpoint w węzłach wyzwalaczy Meta i Microsoft Teams odbija parametr zapytania w odpowiedzi HTTP bez sanityzacji ani nagłówków Content-Security-Policy, co umożliwia odbite XSS w domenie n8n, gdy zalogowany użytkownik odwiedzi spreparowany URL.
Podatność SQL Injection w Cboard w wersji 0.4.2 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent getDimensionsValues.
W bibliotece GPAC MP4Box w wersji 2.4 wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji gf_isom_add_track_kind() w pliku isomedia/isom_write.c. Atakujący może wykorzystać specjalnie spreparowany plik MP4 do wywołania błędu i spowodowania odmowy usługi (DoS).
DRIMO CMS jest podatny na refleksyjny atak XSS poprzez parametr q w funkcjonalności wyszukiwania. Atakujący może przygotować URL, który po otwarciu skutkuje wykonaniem dowolnego kodu JavaScript w przeglądarce ofiary.
Hono przed wersją 4.12.12 nie weryfikuje nazw ciasteczek w funkcjach setCookie(), serialize() i serializeSigned(), co pozwala na użycie nieprawidłowych znaków, takich jak znaki kontrolne. Może to prowadzić do błędnych wartości nagłówków Set-Cookie.
Grav przed wersją 2.0.0-beta.2 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w procesie przesyłania plików SVG, co pozwala uwierzytelnionym atakującym na odczyt dowolnych plików. Aplikacja używa funkcji simplexml_load_string bez wyłączenia ładowania zewnętrznych jednostek, co umożliwia atakującym wstrzykiwanie ładunków XXE za pomocą złośliwych plików SVG.
W ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 występuje wyciek pamięci w pliku coders/txt.c podczas przetwarzania plików TXT z atrybutami tekstury. Obiekt tekstury alokowany przez ReadImage nie jest zwalniany, gdy funkcja GetTypeMetrics zawiedzie, co powoduje wyciek pamięci przy każdym przetworzeniu spreparowanego pliku TXT z atrybutem tekstury.
Nuxt w wersjach 4.0.0 przed 4.4.7 oraz 3.18.0 przed 3.21.7, działając na serwerze deweloperskim (nuxt dev) w systemie Linux, wiąże serwer IPC vite-node z gniazdem Unix w abstrakcyjnej przestrzeni nazw bez ograniczeń dostępu, co pozwala lokalnym użytkownikom na enumerację i połączenie.
Crawl4AI przed wersją 0.8.7 zawiera podatność na trwały skrypt między witrynami (stored XSS) w panelu monitorowania. Panel renderuje adresy URL i komunikaty błędów za pomocą innerHTML bez odpowiedniego kodowania, co pozwala atakującemu na przesłanie spreparowanego żądania indeksowania zawierającego złośliwy kod. Kod ten wykonuje się w przeglądarce operatora podczas przeglądania panelu.
Capgo przed wersją 12.128.2 zawiera podatność na walidację poświadczeń w punkcie końcowym POST /functions/v1/private/validate_password_compliance, który można wywołać tylko za pomocą publicznego klucza Supabase bez uwierzytelnienia. Punkt końcowy jest zgodny z CORS i nie ma ograniczeń dotyczących liczby żądań, co umożliwia atakującym przeprowadzanie ataków typu password spraying i credential stuffing.
Wtyczka ProfileGrid dla WordPressa zawiera podatność na trwałe ataki XSS poprzez parametr 'pm_author_message' w funkcji pm_send_message_to_author. Problem występuje we wszystkich wersjach do 5.9.9.2 włącznie i wynika z niedostatecznego oczyszczania danych wejściowych oraz braku kodowania wyjścia.
W podatności CVE-2026-10857 występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu Reflected XSS w oprogramowaniu e-Commerce firmy AKIN Software.
Rejestr Open VSX nie sanitizuje plików SVG przesyłanych jako ikony rozszerzeń przed ich zapisaniem, co pozwala na publikację złośliwego rozszerzenia z ikoną SVG. To prowadzi do przechowywanego ataku XSS, gdy użytkownik odwiedza bezpośrednio URL ikony.
Wtyczka Frontend File Manager dla WordPressa do wersji 23.6 nie sanitizuje ani nie ucieka od nazwy pliku przesyłanej do punktu końcowego zmiany nazwy pliku, co prowadzi do podatności na przechowywane ataki Cross-Site Scripting.
Wtyczka Infility Global dla WordPressa przed wersją 2.15.20 nie sanitizuje ani nie waliduje parametrów orderby i order w wywołaniach admin page import_list(), url_detail() oraz file_detail(). To umożliwia uwierzytelnionym atakującym z dostępem na poziomie Edytora lub wyższym przeprowadzenie czasowego ślepego ataku SQL i wydobycie wrażliwych danych z bazy danych.
W systemie Zephyr w parserze katalogów ext2 brakuje pełnej walidacji struktury wpisu katalogu przed skopiowaniem nazwy i przejściem do następnego wpisu. Atakujący może dostarczyć spreparowany obraz ext2, który powoduje odczyt poza zakresem bufora bloku katalogu lub nieskończoną pętlę.
vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.23.1rc0, niekompletna poprawka dla CVE-2026-22778 pozwala na wyciek adresów pamięci w komunikatach błędów, co może prowadzić do ujawnienia informacji o pamięci w odpowiedziach do klientów.
vLLM to silnik wnioskowania i serwowania dla dużych modeli językowych. W wersjach przed 0.23.1rc0, walidacja temperatury używała operatorów porównania, które nieprawidłowo obsługiwały wartości NaN i dodatnią nieskończoność, co prowadziło do nieokreślonego zachowania lub błędów CUDA.
vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach przed 0.23.1rc0, punkt końcowy /v1/audio/transcriptions ograniczał rozmiar przesyłanych plików skompresowanych, ale nie dekodowanych danych PCM, co mogło prowadzić do nadmiernego zużycia zasobów.

