Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Urządzenia punktu dostępu bezprzewodowego ELECOM nie wymagają uwierzytelnienia do uzyskania dostępu do niektórych konkretnych adresów URL. Dotknięty produkt może być używany bez uwierzytelnienia.
Deployer Helm w Fleet nie zastosował w pełni impersonacji ServiceAccount w dwóch ścieżkach kodu, co pozwalało najemcy z dostępem do git push w repozytorium monitorowanym przez Fleet na odczyt sekretów z dowolnej przestrzeni nazw w każdym docelowym klastrze.
W GUARDIANWALL MailSuite i GUARDIANWALL Mail Security Cloud (wersja SaaS) występuje podatność na przepełnienie bufora na stosie. Zdalny atakujący może wysłać specjalnie przygotowane żądanie do usługi webowej produktu, co może prowadzić do wykonania dowolnego kodu, jeśli produkt jest skonfigurowany do uruchamiania pop3wallpasswd z uprawnieniami użytkownika grdnwww.
Wszystkie wersje Hitachi Vantara Pentaho Data Integration & Analytics zawierają sterownik JDBC dla baz danych H2, który jest podatny na wykonanie zewnętrznych skryptów podczas tworzenia nowego połączenia przez administratora źródła danych.
ChurchCRM to system zarządzania kościołem typu open-source. W wersjach od 7.2.0 do 7.2.2 poprawka dla CVE-2026-4058 jest niekompletna, co pozwala na wykorzystanie tej podatności.
ChurchCRM to system zarządzania kościołem typu open-source. W wersjach przed 7.3.2 poprawka dla CVE-2026-39337 jest niekompletna, co pozwala na zdalne wykonanie kodu przed uwierzytelnieniem poprzez nieoczyszczoną zmienną DB_PASSWORD.
Thymeleaf, silnik szablonów Java, ma lukę w zabezpieczeniach przed wersją 3.1.5.RELEASE, która pozwala na obejście mechanizmów wykonania wyrażeń. W przypadku przekazania do silnika szablonów niesanitarnych zmiennych, które zawierają niebezpieczne wyrażenia, może dojść do wykonania tych wyrażeń w kontekście sandboxa, co prowadzi do ataku typu Server-Side Template Injection (SSTI).
Scramble generuje dokumentację API dla projektów Laravel. W wersjach od 0.13.2 do przed 0.13.22, gdy punkty końcowe dokumentacji są publicznie dostępne, a reguły walidacji odnoszą się do danych kontrolowanych przez użytkownika, dostarczone dane mogą być oceniane podczas generowania dokumentacji, co prowadzi do wykonania dowolnego kodu PHP w kontekście aplikacji.
W wersjach przed 4.08.010, funkcja elfinder_checkRisk w efw4.X nie weryfikuje parametru dst używanego przez elfinder_paste, co pozwala atakującemu na kopiowanie lub przenoszenie plików z katalogu domowego do dowolnej lokalizacji poprzez ustawienie dst na zakodowaną w base64 ścieżkę przejścia.
W efw4.X przed wersją 4.08.010, metoda efw.file.FileManager.unZip nie sprawdzała ścieżki kanonicznej przy zapisywaniu wpisów zip na dysku, co pozwalało na wyjście poza zamierzony katalog. Atakujący mógł wykorzystać tę lukę do umieszczenia złośliwego pliku JSP i wykonywania dowolnych poleceń jako użytkownik Tomcat.
W wger przed wersją 2.6 występuje podatność, która pozwala użytkownikowi z uprawnieniami gym.manage_gym na zresetowanie hasła dowolnego użytkownika bez przypisania do siłowni. Wykorzystując błąd w porównaniu obiektów, atakujący może przejąć konto ofiary, a oryginalne hasło ofiary zostaje unieważnione.
W wersjach przed 3.3.8, parser formularzy wieloczęściowych WebServer w arduino-esp32 alokuje tablicę o zmiennej długości na stosie, której rozmiar zależy od kontrolowanego przez atakującego pola nagłówka HTTP. Przekroczenie długości granicy większej niż ~8000 znaków prowadzi do przepełnienia stosu i potencjalnego wykonania zdalnego kodu.
django-s3file przed wersją 7.0.2 jest podatny na ataki typu traversal, które pozwalają atakującemu na ucieczkę z pre-signed upload locations i załadowanie plików z losowych lokalizacji do request.FILES. Może to prowadzić do problemów z poufnością i integralnością danych.
Exim w wersjach przed 4.99.3, w określonych konfiguracjach GnuTLS, ma podatność typu use-after-free w ścieżce analizy ciała BDAT. Może to prowadzić do uszkodzenia sterty, gdy klient wyśle powiadomienie TLS close_notify w trakcie transferu CHUNKING, a następnie ostatni bajt w czystym tekście na tym samym połączeniu TCP.
Pulpy to lekka, wieloplatformowa aplikacja do pakowania aplikacji webowych. W wersji przed 0.1.1, Pulpy wstrzykiwał API JavaScript pulpy.fs do każdej zapakowanej aplikacji webowej, co umożliwiało dostęp do systemu plików hosta. Funkcja validateFsPath() miała ograniczać ten dostęp, ale jej lista blokad była niekompletna.
ArcadeDB przed wersją 2.6.4 pozwalał uwierzytelnionym użytkownikom oraz tokenom API na odczyt, zapis i modyfikację schematu w dowolnej bazie danych na tym samym serwerze, co stanowi poważne naruszenie bezpieczeństwa.
Wersje serwera Relay od 0.9.0 do 0.9.6 zawierają lukę w autoryzacji w punktach końcowych WebSocket dla wielu dokumentów. Atakujący bez autoryzacji może uzyskać dostęp do zawartości dokumentów, jeśli zna lub zgadnie identyfikator dokumentu.
Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w autoryzacji, która może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.
Wersje Adobe Connect 2025.9.15, 2025.8.157 i wcześniejsze są podatne na lukę w deserializacji niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność, aby uruchomić dowolny kod.
WGDashboard, panel do zarządzania VPN WireGuard, przed wersją 4.3.2 zawierał krytyczne podatności, które mogły umożliwić nieautoryzowanym osobom dostęp do systemu plików hosta bez uwierzytelnienia.

