CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.01)

CVE-2026-40528
Low

OpenSC przed wersją 0.27.0 zawiera podatność na przepełnienie bufora stosu i sterty w funkcji do_key_value() w pliku src/pkcs15init/profile.c. Atakujący mogą uszkodzić pamięć, dostarczając spreparowany plik konfiguracyjny profilu.

CVE-2026-40510
Low

OpenSC przed wersją 0.27.0-rc1 zawiera podatność na przepełnienie bufora stosu w funkcji piv_process_history() w pliku src/libopensc/card-piv.c. Atakujący, mający fizyczny dostęp, może wywołać uszkodzenie pamięci, prezentując spreparowaną kartę PIV lub urządzenie USB, które zwraca pole URL dłuższe niż 118 bajtów w odpowiedzi ASN.1 obiektu historii kluczy.

CVE-2026-10078
Low

W narzędziu konfiguracyjnym Quay znaleziono lukę w walidatorze OAuth GitLab. Podatność ta powoduje, że wrażliwe dane uwierzytelniające, takie jak client_id i client_secret, są przesyłane w postaci niezaszyfrowanej w parametrach URL podczas żądań POST do punktu końcowego GitLab.

CVE-2026-9991
Low

Nieodpowiednia implementacja w Media w Google Chrome na systemie Windows przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9959
Low

Występuje wyścig w WebRTC w Google Chrome na systemie Windows przed wersją 148.0.7778.216, który umożliwia zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9950
Low

Niewystarczająca walidacja nieufnych danych wejściowych w systemie iOS w przeglądarce Google Chrome przed wersją 148.0.7778.216 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki tego samego pochodzenia za pomocą spreparowanej strony HTML.

CVE-2026-9944
Low

Wykorzystanie niezainicjowanej zmiennej w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9920
Low

Wykorzystanie niezainicjowanej pamięci w GPU w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-6816
Low

Podatność na obejście dostępu w wtyczkach TFA Basic dla Drupala pozwala użytkownikom z uprawnieniami do zarządzania użytkownikami na przeglądanie lub generowanie kodów odzyskiwania dla innych użytkowników.

CVE-2026-10011
Low

Nieodpowiednia implementacja w Skia w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-47713
Low

Aplikacja AnythingLLM przed wersją 1.13.0 miała lukę, która pozwalała na wykorzystanie zatwierdzonego tokena mobilnego stworzonego w trybie jednego użytkownika po migracji do trybu wielu użytkowników. Token ten był akceptowany przez middleware autoryzacji mobilnej, co umożliwiało dostęp do danych innych użytkowników bez odpowiedniego filtrowania.

CVE-2026-45403
Low

AnythingLLM to aplikacja, która przekształca fragmenty treści w kontekst, który może być używany przez LLM jako odniesienia podczas czatowania. W wersjach przed 1.13.0 narzędzie do kopiowania systemu plików agenta AnythingLLM walidowało jedynie ścieżki źródłowe i docelowe na najwyższym poziomie, co pozwalało na kopiowanie plików z wykorzystaniem symlinków bez odpowiedniej walidacji.

CVE-2026-47337
Low

Ubuntu Linux w wersjach 6.8, 6.17 i 7.0 zawiera poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi mediacji gniazd AF_INET/AF_INET6. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować błędem jądra.

CVE-2026-47336
Low

Ubuntu Linux 6.8 zawiera poprawki SAUCE, które mogą prowadzić do użycia nieinicjalizowanej zmiennej w kodzie mediacji gniazd AppArmor dla AF_INET/AF_INET6. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować nieprawidłową mediacją gniazd sieciowych.

CVE-2026-47330
Low

Ubuntu Linux 6.8, 7.17, and 7.0 contain AppArmor SAUCE patches that can, under certain circumstances, use an uninitialized variable in notification handling code. The bug can be triggered by an unprivileged local user and can result in the incorrect caching of AppArmor notification responses.

CVE-2026-47329
Low

Ubuntu Linux versions 6.8, 6.17, and 7.0 contain SAUCE patches that fail to validate invalid sizes of the name field in AppArmor notification responses. The bug can be triggered by an unprivileged local user and could result in handling of crafted responses.

CVE-2026-47327
Low

Ubuntu Linux 6.8, 6.17, and 7.0 contain SAUCE patches that may lead to a NULL pointer dereference in the handling of AppArmor notifications. The bug can be triggered by an unprivileged local user, potentially resulting in a kernel oops.

CVE-2026-45076
Low

Synapse to otwartoźródłowa implementacja serwera domowego Matrix. Przed wersją 1.152.1, w federacyjnych pokojach, złośliwe serwery domowe mogły tworzyć zdarzenia pokojowe w sposób, który uniemożliwiał Synapse dostarczenie pełnej historii dla klientów paginujących, co mogło prowadzić do braku wyświetlania historii pokoju.

CVE-2026-48524
Low

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach przed 2.13.0, metoda PyJWKClient.get_signing_key() wymuszała nowe żądanie HTTP do punktu JWKS dla każdego JWT z nieznaną wartością kid, bez ograniczeń w liczbie żądań.

CVE-2026-48156
Low

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do długich czasów wykonywania.

PreviousPage 18 of 60Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS