Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wykryto podatność w systemie zarządzania treścią Intelliants Subrion CMS w wersjach do 4.0.3. Problem dotyczy nieznanej funkcjonalności komponentu Blocks Endpoint, gdzie manipulacja nazwą klasy CSS prowadzi do ataku typu cross-site scripting.
Wtyczka Store Locator dla WordPressa w wersjach przed 1.6.9 nie waliduje parametru przed jego użyciem w ścieżce pliku, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na odczyt dowolnych plików `.php` z serwera.
Wtyczka Store Locator dla WordPressa przed wersją 1.6.9 nie sanitizuje i nie ucieka metadanych logo sklepu przed ich zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość `unfiltered_html` jest zablokowana.
OpenClaw przed wersją 2026.5.6 zawiera lukę w kontroli dostępu w obsłudze zdarzeń Mattermost, która nie weryfikuje metadanych typu kanału. Atakujący mogą obejść zamierzone decyzje polityki DM, wysyłając spreparowane zdarzenia Mattermost, które nie zawierają informacji o typie kanału, co pozwala na przetwarzanie ograniczonej treści.
ApostropheCMS to system zarządzania treścią oparty na Node.js, który w wersjach do 4.30.0 ma lukę związaną z obsługą `prettyUrls`. Gdy ta opcja jest włączona, atakujący może wykorzystać nagłówek `Host` do wysyłania żądań HTTP do dowolnego hosta w sieci prywatnej.
W systemie zarządzania zasobami ludzkimi CodeAstro 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej części pliku /Projects/Add_Projects w komponencie Strona zarządzania projektami. Manipulacja argumentem protitle prowadzi do ataków typu cross site scripting.
Zidentyfikowano podatność w systemie zarządzania zasobami ludzkimi CodeAstro w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /dashboard/add_tod w interfejsie dashboard, gdzie manipulacja argumentem todo_data prowadzi do ataku typu cross-site scripting.
Parse Server przed wersjami 8.6.79 i 9.9.1-alpha.4 pozwalał na obejście domyślnej listy blokowanych rozszerzeń plików poprzez dodanie kropki na końcu nazwy pliku. To umożliwia atakującym przesyłanie plików z niebezpiecznymi typami MIME, co prowadzi do możliwości wykonania ataków XSS.
Zidentyfikowano podatność w aplikacji Groww Stock, Mutual Fund, Gold na Androida, która dotyczy nieznanej części komponentu WebView URL Handler. Manipulacja prowadzi do niewłaściwej autoryzacji w obsłudze niestandardowego schematu URL.
Quest Bot to otwartoźródłowy bot Discord, który przed wersją 1.1.6 nie tłumił wzmiankowania przy wywoływaniu komendy /warns, co mogło prowadzić do masowego pingowania użytkowników.
Wtyczka Secure Copy Content Protection i Content Locking dla WordPressa przed wersją 5.1.5 nie sanitizuje i nie ucieka niektórych swoich ustawień, co może umożliwić użytkownikom o wysokich uprawnieniach, takim jak administratorzy, przeprowadzenie ataków typu Stored Cross-Site Scripting, nawet gdy możliwość unfiltered_html jest zablokowana.
Nieodpowiednia implementacja w systemie haseł w Google Chrome na Androidzie przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.115 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, obejście izolacji witryn za pomocą spreparowanej strony HTML.
OpenClaw w wersjach przed 2026.4.25 zawiera lukę w polityce, która pozwala na obejście zasad wbudowanego runnera. Umożliwia to atakującym porównywanie aliasów dostawców zamiast ich kanonicznych tożsamości, co może prowadzić do nieautoryzowanego dostępu do narzędzi.
Quest Bot to otwartoźródłowy bot Discorda, który przed wersją 1.0.5 nie tłumił wzmiankowania w niektórych komendach moderacyjnych. Komendy /unban i /unwarn nadal wysyłały tekst powodu kontrolowanego przez użytkownika w publicznych wiadomościach bota, co mogło prowadzić do masowego pingowania.
Quest Bot to nowoczesny bot Discord stworzony do moderacji, narzędzi i wsparcia. W wersjach przed 1.0.4, kilka komend moderacyjnych wyświetlało tekst powodów kontrolowanych przez użytkownika w publicznych odpowiedziach bota, nie wyłączając analizy wzmiankowania.
Podatność w Axios, kliencie HTTP, pozwala na wstrzyknięcie złośliwych danych do nagłówka Proxy-Authorization w przypadku, gdy obiekt proxy jest zanieczyszczony. Problem występuje w wersjach od 1.15.2 do przed 1.16.0, gdzie funkcja setProxy() nie sprawdza właściwości obiektów.
W podatności CVE-2026-11956 zidentyfikowano problem w wersji 5.36.0 komponentu TwiN gatus, dotyczący funkcji setSessionCookie w pliku security/oidc.go. Manipulacja tą funkcją może prowadzić do uzyskania wrażliwego ciasteczka bez atrybutu secure.
GitLab naprawił problem w GitLab CE/EE, który dotyczy wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, nieautoryzowany użytkownik mógł podszyć się pod GitLab Support Bot i wstrzyknąć dowolną treść poprzez specjalnie przygotowaną odpowiedź e-mail w Service Desk z powodu niewłaściwego przetwarzania szablonów e-mail.
GitLab naprawił problem w GitLab CE/EE, który dotyczył wszystkich wersji od 15.9 przed 18.10.8, 18.11 przed 18.11.5 oraz 19.0 przed 19.0.2. W określonych warunkach, uwierzytelniony użytkownik z uprawnieniami dewelopera mógł ukryć zmiany w widokach różnic zgłoszeń scalania z powodu niewłaściwego przetwarzania nazw plików.

