Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w bibliotece MuPDF przed wersją 1.27.0-rc1 umożliwia atakującemu zdalne spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku EPUB z głęboko zagnieżdżonymi elementami HTML i stylami CSS inline. Problem wynika z niekontrolowanej rekurencji w funkcji value_from_inheritable_property() w pliku css-apply.c, która przeszukuje łańcuch dziedziczenia właściwości CSS bez ograniczenia głębokości, co prowadzi do przepełnienia stosu procesu i awarii aplikacji używającej MuPDF do renderowania EPUB.
Podatność w programach Adobe Acrobat i Reader umożliwia odczyt poza dozwolonym zakresem pamięci, co może prowadzić do ujawnienia wrażliwych danych. Atakujący może wykorzystać ten błąd do uzyskania dostępu do poufnych informacji, ale wymaga to otwarcia przez ofiarę specjalnie spreparowanego pliku.
Podatność polegająca na odczycie poza dozwolonym zakresem pamięci w programie Acrobat Reader, która może prowadzić do ujawnienia wrażliwych danych. Atak wymaga interakcji użytkownika, który musi otworzyć złośliwy plik.
Podatność w dhcpcd do wersji 10.3.2, załatana w commicie 78ea09e, zawiera błąd use-after-free w obsłudze gniazda kontrolnego w src/control.c. Lokalny, nieuprzywilejowany atakujący może wywołać uszkodzenie pamięci, gdy wyłączona jest separacja uprawnień, wysyłając uprzywilejowane polecenie (np. -x) przez gniazdo kontrolne.
Podatność w dhcpcd do wersji 10.3.2 powoduje wyciek pamięci podczas obsługi informacji o trasach w reklamach routera IPv6. Nieuwierzytelniony atakujący z tej samej sieci może wysłać spreparowane reklamy routera, co prowadzi do wyczerpania pamięci i awarii demona.
Podatność w dhcpcd do wersji 10.3.2 (załatana w commicie 2f00c7b) umożliwia atakującemu w tej samej sieci zapis poza stosem o jeden bajt. Błąd występuje w funkcji dhcp6_makemessage() w pliku src/dhcp6.c podczas serializacji zbyt dużego ciała opcji OPTION_PD_EXCLUDE z RFC6603.
W dhcpcd do wersji 10.3.2 występuje podatność use-after-free w stercie, która pozwala nieuwierzytelnionym atakującym z tej samej sieci na zrzucenie demona poprzez wysłanie spreparowanej odpowiedzi DHCPv6 RENEW z opcją RFC6603 OPTION_PD_EXCLUDE i zerowymi czasami życia preferowanego i ważnego. Atakujący podszywający się pod serwer DHCPv6 może wywołać funkcję dhcp6_deprecatedele(), która zwalnia podrzędny adres delegowany, podczas gdy zewnętrzny iterator TAILQ_FOREACH_SAFE w dhcp6_deprecateaddrs() nadal przechowuje wskaźnik do zwolnionej pamięci, co prowadzi do use-after-free przy wywołaniu TAILQ_REMOVE.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. W wersjach przed 1.7.0 przycisk wylogowania nie usuwał sesji, co powodowało, że poprzedni użytkownik pozostawał zalogowany, chyba że inny użytkownik zalogował się explicite.
n8n to platforma automatyzacji przepływów pracy o otwartym kodzie źródłowym. Przed wersjami 2.25.7 i 2.26.2 podatność na zanieczyszczenie prototypu umożliwiała spreparowanemu ładunkowi publicznego webhooka wstrzyknięcie pól kontrolowanych przez atakującego do danych przepływu pracy podczas wewnętrznego kopiowania obiektów. Pola te mogły być ujawniane i konsumowane jako normalne wartości przez wbudowane węzły downstream.
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływów pracy mógł wstrzyknąć dowolny kod JavaScript do strony generowanej przez wyzwalacz czatu poprzez ustawienie złośliwego webhookId. Gdy zalogowany użytkownik odwiedził adres URL czatu, wstrzyknięty kod wykonywał się w kontekście pochodzenia n8n z uprawnieniami sesji tego użytkownika.
W n8n przed wersjami 1.123.55, 2.25.7 i 2.26.2 uwierzytelniony użytkownik z uprawnieniami do edycji przepływu pracy mógł skonfigurować węzeł Respond to Webhook tak, aby zwracał treści binarne z kontrolowanym przez atakującego nagłówkiem Content-Type. Ta ścieżka odpowiedzi binarnej omijała centralny nagłówek Content-Security-Policy sandbox, umożliwiając publicznemu webhookowi wykonanie JavaScript w kontekście pochodzenia n8n po odwiedzeniu przez uwierzytelnionego użytkownika, z dostępem do jego sesji.
Podatność w yt-dlp od wersji 2023.09.24 do 2026.06.09 powoduje wyciek ciasteczek do niezamierzonego hosta podczas korzystania z curl jako zewnętrznego narzędzia do pobierania. Problem występuje przy przekierowaniach HTTP lub gdy host fragmentów różni się od hosta manifestu nadrzędnego.
W Langflow przed wersją 1.10.0 funkcja „Shareable Playground” („Public Flows”) umożliwiała publiczne wykonywanie przepływów. Żądanie wykonania mogło zawierać listę plików odczytywanych przez Langflow i przekazywanych do modelu LLM, co pozwalało na odczyt dowolnych plików lokalnych lub z S3, w zależności od konfiguracji.
Podatność umożliwia użytkownikom na poziomie reklamodawcy aktywację lub dezaktywację banera w Revive Adserver 6.0.6 i wcześniejszych wersjach, nawet jeśli nie przyznano im takich uprawnień. Skrypt banner-edit.php pozwalał na nadpisanie statusu banera wyłącznie na podstawie uprawnień do edycji banera.
Brak kontroli dostępu podczas wywoływania różnych metod modyfikacji w API XML-RPC Revive Adserver w wersji 6.0.6 i wcześniejszych. API pozwalało na przypisywanie jednostek do różnych jednostek nadrzędnych, co prowadziło do niespójnych relacji własności.
Langflow przed wersją 1.9.0 zawiera podatność na przechodzenie do dowolnych ścieżek (Path Traversal) w API baz wiedzy (POST /api/v1/knowledge_bases). Atakujący z uwierzytelnieniem może wykorzystać brak walidacji nazw baz wiedzy do tworzenia katalogów i zapisywania plików w dowolnym miejscu systemu plików serwera.
Niskoprawne identyfikatory sesji generowane dla konsoli administracyjnej mogą być ponownie używane w API XML-RPC, którego uwierzytelnienie jest zazwyczaj ograniczone do użytkowników administracyjnych. Atakujący może wykorzystać to do uzyskania nieautoryzowanego dostępu i wykorzystania luk na poziomie API.
Brak sanitizacji danych wejściowych w skrypcie zone-include.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może umożliwić użytkownikowi o niskich uprawnieniach wykorzystanie parametru clientid do przeprowadzenia ataków typu blind SQL injection. Wprowadzono poprawki w sanitizacji danych wejściowych, aby zapewnić prawidłową walidację wszystkich przetwarzanych parametrów.
Brak kontroli dostępu przy łączeniu trackerów z kampaniami w skrypcie campaign-trackers.php w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na powiązanie swoich trackerów z kampaniami należącymi do innych menedżerów w tej samej instancji.
Brak kontroli dostępu przy łączeniu banerów lub kampanii z strefą w skrypcie zone-include.php Revive Adserver 6.0.6 i wcześniejszych wersjach pozwala na to, że użytkownik o niskich uprawnieniach może połączyć swoje strefy z banerami lub kampaniami należącymi do innych menedżerów w tej samej instancji.

