Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2025-55644
Średnie

W funkcji gf_node_get_tag w GPAC MP4Box v2.4 występuje podatność typu use-after-free w stercie, która pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2025-55643
Średnie

W komponentach obsługi TrackWriter w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2025-55642
Średnie

W wersji 2.4 GPAC MP4Box odkryto wyjątek punktu zmiennoprzecinkowego w funkcji avidmx_process (isomedia/isom_write.c).

CVE-2025-55641
Średnie

W funkcji gf_isom_copy_sample_info w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.

CVE-2026-8358
Średnie

W LibreOffice Calc występowała podatność związana z przepełnieniem bufora w stercie, gdy dokument ponownie używał tego samego identyfikatora zmian dla dwóch różnych typów zmian. To prowadziło do zapisu poza przydzieloną pamięcią.

CVE-2026-8356
Średnie

W LibreOffice występuje przepełnienie bufora stosu podczas importowania prezentacji w przestarzałym formacie PPT. Problem ten występuje w momencie importowania rekordu zamiany kolorów, gdy liczba kolorów przekracza rozmiar tabeli kolorów.

CVE-2026-6047
Średnie

W LibreOffice występuje podatność na przepełnienie bufora w stercie podczas przetwarzania zdarzeń parsera dla elementu pola tekstowego w dokumentach OOXML (DOCX). Problem polega na założeniu, że obiekt handlera jest jednego typu, co prowadzi do zapisu poza końcem alokacji.

CVE-2026-6045
Średnie

LibreOffice ma podatność na przepełnienie bufora w stercie podczas importowania grafiki EMF+, co może prowadzić do nadpisania pamięci. Problem występuje przy obliczaniu rozmiaru alokacji dla gradientu, co może skutkować błędnym przydzieleniem pamięci.

CVE-2026-6039
Średnie

W LibreOffice występowała podatność na przepełnienie bufora w stercie podczas importowania polilinii DXF. Liczba punktów z pliku była obcinana do wartości 16-bitowej, co prowadziło do zapisu poza końcem bufora, gdy liczba punktów przekraczała ten zakres.

CVE-2026-49294
Średnie

Valhalla to silnik routingu open source, który w wersjach 3.6.3 i wcześniejszych jest podatny na refleksyjny atak XSS z powodu niewłaściwego neutralizowania danych wejściowych w parametrze callback JSONP. Atakujący może wstrzyknąć dowolny kod JavaScript, co prowadzi do potencjalnego kradzieży tokenów sesji lub ujawnienia danych uwierzytelniających.

CVE-2026-20262
ŚrednieAktywnie exploitowaneEPSS 63%

Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu tworzenie lub nadpisywanie plików w systemie plików. Wykorzystanie tej podatności wymaga wysłania odpowiednio skonstruowanego żądania HTTP do punktu końcowego API.

CVE-2026-9595
Średnie

Podatność w webpack-dev-server pozwala na przechwytywanie ciasteczek przeglądarki oraz nagłówka Origin, gdy użytkownik skonfiguruje proxy z szerokim kontekstem i włączy ws: true. To prowadzi do obejścia walidacji Host/Origin oraz uszkodzenia gniazda HMR.

CVE-2026-8683
Średnie

Aplikacja Mattermost Desktop w wersjach <=6.1 5.5.13.0 nie obsługuje poprawnie próby otwierania ekstremalnie długich adresów URL, co pozwala złośliwemu właścicielowi serwera na awarię aplikacji poprzez włączenie skryptu wywołującego window.open z bardzo dużym adresem URL.

CVE-2026-5038
Średnie

Wersje multer od 2.0.0-alpha.1 do 2.1.1 oraz 3.0.0-alpha.1 są podatne na atak typu Denial of Service przy użyciu diskStorage. Przerwane lub źle sformatowane przesyłki multipart pozostawiają osierocone częściowe pliki na dysku, co może prowadzić do wyczerpania przestrzeni dyskowej.

CVE-2026-10634
Średnie

Stos TCP Zephyra zawiera podatność use-after-free w funkcji net_tcp_foreach(). Podczas iteracji globalnej listy połączeń, zwolnienie blokady tcp_lock na czas wywołania zwrotnego pozwala współbieżnemu wątkowi na usunięcie i zwolnienie pamięci następnego elementu listy, co prowadzi do dereferencji zwolnionej pamięci. Problem występuje w stosie TCP2 od 2020 roku do wersji v4.4.0 włącznie.

CVE-2025-15659
Średnie

W wersjach Elizaibots <= 1.0.2 występuje podatność na atak Cross Site Scripting (XSS), co może umożliwić atakującym wstrzykiwanie złośliwego kodu do aplikacji.

CVE-2025-15658
Średnie

W wersjach WP Emmet <= 0.3.4 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez administratorów.

CVE-2026-6517
Średnie

Aplikacja Mattermost Desktop w wersjach <=6.1 5.5.13.0 nie ogranicza listy dozwolonych domen, do których przesyłane są poświadczenia NTLM. Umożliwia to każdemu użytkownikowi na serwerze, na którym nie jest włączony proxy obrazów, przechwytywanie poświadczeń innych użytkowników poprzez osadzenie obrazu, który kieruje do zewnętrznego serwera.

CVE-2026-48969
Średnie

Wersje Really Simple SSL do 9.5.9 mają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.

CVE-2025-64215
Średnie

Brak autoryzacji w StylemixThemes MasterStudy LMS Pro umożliwia dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem dotyczy wersji MasterStudy LMS Pro przed 4.7.16.

PoprzedniaStrona 102 z 514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS