Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka WordPress WP Super Edit w wersji 2.5.4 i wcześniejszych zawiera podatność na nieograniczone przesyłanie plików w komponencie FCKeditor, co pozwala atakującym na przesyłanie niebezpiecznych typów plików bez walidacji.
Podatność w Traefiku pozwala użytkownikowi z uprawnieniami do tworzenia tras HTTP w Kubernetes Gateway API na ominięcie ustawienia providers.rest.insecure=false i uzyskanie dostępu do REST provider handler. Poprzez odwołanie do backendu TraefikService z nazwą kończącą się na @internal, możliwe jest przekierowanie ruchu do rest@internal, co w środowiskach współdzielonych umożliwia nieautoryzowaną zmianę konfiguracji routerów i usług.
Serwis obliczeniowy MCP Calculate Server, oparty na protokole MCP i bibliotece SymPy, przed wersją 0.1.1 wykorzystywał funkcję eval() do oceny wyrażeń matematycznych bez odpowiedniego oczyszczania danych wejściowych, co prowadziło do możliwości zdalnego wykonania kodu.
LibJWT to biblioteka C do obsługi JSON Web Token. W wersjach od 3.0.0 do 3.3.2, libjwt akceptuje RSA JWK bez parametru alg jako klucz weryfikacyjny dla tokenów HS256/HS384/HS512, co umożliwia atakującemu sfałszowanie ważnego JWT bez znajomości tajnego klucza lub klucza prywatnego RSA.
W wersjach Magento Long Term Support (LTS) przed 20.18.0, identyfikator sesji API XML-RPC / SOAP jest generowany przy użyciu przestarzałej metody opartej na czasie, co prowadzi do niskiego poziomu entropii. To narusza standardy OWASP ASVS i NIST, umożliwiając atakującym przeprowadzenie ataku brute-force na aktywne sesje API.
W OpenMRS, od wersji 2.7.0 do przed 2.7.9 oraz 2.8.6, metoda ConceptReferenceRangeUtility.evaluateCriteria() ocenia kryteria przechowywane w bazie danych jako szablony Apache Velocity bez odpowiedniej konfiguracji sandbox. To umożliwia nieograniczone odbicie Java przez wyrażenia szablonów.
Turborepo, system budowania dla kodów JavaScript i TypeScript, jest podatny na wykonanie dowolnego kodu w wersjach od 1.1.0 do przed 2.9.14, gdy jest uruchamiany w niezaufanych repozytoriach z złośliwą konfiguracją Yarn. Wykrywanie menedżera pakietów wykonuje polecenie yarn --version, co może prowadzić do załadowania i wykonania kodu z .yarnrc.yml kontrolowanego przez atakującego.
W podatności CVE-2026-2031 występuje niewłaściwa kontrola dostępu w kilku wewnętrznych punktach API Google Cloud Application Integration przed 23 stycznia 2026 roku. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu ujawnienie wrażliwych informacji oraz wykonanie dowolnego kodu za pomocą specjalnie przygotowanych żądań HTTP.
Moduł eksportu diagramów jest podatny na atak typu Path Traversal w atrybucie src z powodu braku sanitizacji HTML. Nieautoryzowany użytkownik może stworzyć ładunek HTML, który może zawierać lokalne pliki z serwera i wyświetlić je w wygenerowanym pliku PDF.
Moduł eksportu PDF używany w produktach DHTMLX Gantt i Scheduler jest podatny na zdalne wykonanie kodu z powodu braku sanitizacji parametru 'data'. Nieautoryzowany atakujący może wstrzyknąć złośliwy kod JavaScript, który zostanie przetworzony przez Node.js i wykonany na serwerze.
Atak na łańcuch dostaw wpłynął na oficjalne pakiety instalacyjne DAEMON Tools Lite w wersjach 12.5.0.2421 do 12.5.0.2434, dystrybuowane z legalnej strony daemon-tools.cc w okresie od 8 kwietnia 2026 do 5 maja 2026. Napastnicy uzyskali nieautoryzowany dostęp do infrastruktury budowy lub dystrybucji dostawcy i zainfekowali trzy pliki binarne.
Wtyczka Form Notify dla WordPressa jest podatna na obejście uwierzytelnienia w wersjach do 1.1.10. Problem wynika z zaufania wtyczki do danych cookie kontrolowanych przez użytkownika, co pozwala na dostęp do kont użytkowników bez uwierzytelnienia.
Nieograniczone powiązanie adresu IP w AMD Device Metrics Exporter (ekosystem ROCm) może umożliwić zdalnemu atakującemu wprowadzenie nieautoryzowanych zmian w konfiguracji GPU, co może prowadzić do utraty dostępności.
HRConvert2 przed wersją 3.3.8 ma lukę w funkcji sanitizeString(), która nie usuwa znaków backtick (`) oraz tab ( ). W wyniku tego, dane wejściowe użytkownika mogą trafić do funkcji shell_exec(), co pozwala na wykonanie poleceń w nazwach plików.
W PrestaShop, przed wersjami 8.2.6 i 9.1.1, występuje podatność typu Cross-Site Scripting (XSS) w widoku obsługi klienta w panelu administracyjnym. Atakujący bez uwierzytelnienia może przesłać złośliwy adres e-mail przez formularz kontaktowy, co prowadzi do przechwycenia sesji i pełnej kontroli nad panelem administracyjnym.
Crabbox w wersjach przed v0.12.0 zawiera podatność na ujawnienie zmiennych środowiskowych, która pozwala atakującym z dostępem do złośliwego lub skompromitowanego repozytorium na przesyłanie lokalnych sekretów, takich jak tokeny API, dane uwierzytelniające do chmury i tokeny brokera do zdalnego środowiska poleceń.
Wykorzystanie po zwolnieniu pamięci w Mojo w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w interfejsie użytkownika w Google Chrome przed wersją 148.0.7778.168 umożliwia zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W oprogramowaniu Fleet, przed wersją 4.81.0, występowała podatność w procesie instalacji, która mogła pozwolić na wykonanie dowolnych poleceń jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych punktach końcowych podczas uruchamiania deinstalacji. Złośliwie skonstruowany pakiet oprogramowania mógł prowadzić do niezamierzonego wykonania poleceń.
SiYuan to system zarządzania wiedzą, który przed wersją 3.7.0 nie stosował odpowiedniego zabezpieczenia HTML dla nazw i wersji w plikach plugin.json. W wyniku tego, złośliwy kod HTML mógł być wykonany w interfejsie użytkownika, gdy użytkownik otworzył zakładkę rynku.

