Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W funkcji gf_node_get_tag w GPAC MP4Box v2.4 występuje podatność typu use-after-free w stercie, która pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W komponentach obsługi TrackWriter w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W wersji 2.4 GPAC MP4Box odkryto wyjątek punktu zmiennoprzecinkowego w funkcji avidmx_process (isomedia/isom_write.c).
W funkcji gf_isom_copy_sample_info w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W LibreOffice Calc występowała podatność związana z przepełnieniem bufora w stercie, gdy dokument ponownie używał tego samego identyfikatora zmian dla dwóch różnych typów zmian. To prowadziło do zapisu poza przydzieloną pamięcią.
W LibreOffice występuje przepełnienie bufora stosu podczas importowania prezentacji w przestarzałym formacie PPT. Problem ten występuje w momencie importowania rekordu zamiany kolorów, gdy liczba kolorów przekracza rozmiar tabeli kolorów.
W LibreOffice występuje podatność na przepełnienie bufora w stercie podczas przetwarzania zdarzeń parsera dla elementu pola tekstowego w dokumentach OOXML (DOCX). Problem polega na założeniu, że obiekt handlera jest jednego typu, co prowadzi do zapisu poza końcem alokacji.
LibreOffice ma podatność na przepełnienie bufora w stercie podczas importowania grafiki EMF+, co może prowadzić do nadpisania pamięci. Problem występuje przy obliczaniu rozmiaru alokacji dla gradientu, co może skutkować błędnym przydzieleniem pamięci.
W LibreOffice występowała podatność na przepełnienie bufora w stercie podczas importowania polilinii DXF. Liczba punktów z pliku była obcinana do wartości 16-bitowej, co prowadziło do zapisu poza końcem bufora, gdy liczba punktów przekraczała ten zakres.
Valhalla to silnik routingu open source, który w wersjach 3.6.3 i wcześniejszych jest podatny na refleksyjny atak XSS z powodu niewłaściwego neutralizowania danych wejściowych w parametrze callback JSONP. Atakujący może wstrzyknąć dowolny kod JavaScript, co prowadzi do potencjalnego kradzieży tokenów sesji lub ujawnienia danych uwierzytelniających.
Podatność w interfejsie webowym Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu tworzenie lub nadpisywanie plików w systemie plików. Wykorzystanie tej podatności wymaga wysłania odpowiednio skonstruowanego żądania HTTP do punktu końcowego API.
Podatność w webpack-dev-server pozwala na przechwytywanie ciasteczek przeglądarki oraz nagłówka Origin, gdy użytkownik skonfiguruje proxy z szerokim kontekstem i włączy ws: true. To prowadzi do obejścia walidacji Host/Origin oraz uszkodzenia gniazda HMR.
Aplikacja Mattermost Desktop w wersjach <=6.1 5.5.13.0 nie obsługuje poprawnie próby otwierania ekstremalnie długich adresów URL, co pozwala złośliwemu właścicielowi serwera na awarię aplikacji poprzez włączenie skryptu wywołującego window.open z bardzo dużym adresem URL.
Wersje multer od 2.0.0-alpha.1 do 2.1.1 oraz 3.0.0-alpha.1 są podatne na atak typu Denial of Service przy użyciu diskStorage. Przerwane lub źle sformatowane przesyłki multipart pozostawiają osierocone częściowe pliki na dysku, co może prowadzić do wyczerpania przestrzeni dyskowej.
Stos TCP Zephyra zawiera podatność use-after-free w funkcji net_tcp_foreach(). Podczas iteracji globalnej listy połączeń, zwolnienie blokady tcp_lock na czas wywołania zwrotnego pozwala współbieżnemu wątkowi na usunięcie i zwolnienie pamięci następnego elementu listy, co prowadzi do dereferencji zwolnionej pamięci. Problem występuje w stosie TCP2 od 2020 roku do wersji v4.4.0 włącznie.
W wersjach Elizaibots <= 1.0.2 występuje podatność na atak Cross Site Scripting (XSS), co może umożliwić atakującym wstrzykiwanie złośliwego kodu do aplikacji.
W wersjach WP Emmet <= 0.3.4 występuje podatność na Cross Site Scripting (XSS), która może być wykorzystana przez administratorów.
Aplikacja Mattermost Desktop w wersjach <=6.1 5.5.13.0 nie ogranicza listy dozwolonych domen, do których przesyłane są poświadczenia NTLM. Umożliwia to każdemu użytkownikowi na serwerze, na którym nie jest włączony proxy obrazów, przechwytywanie poświadczeń innych użytkowników poprzez osadzenie obrazu, który kieruje do zewnętrznego serwera.
Wersje Really Simple SSL do 9.5.9 mają lukę w kontroli dostępu, która może pozwolić subskrybentom na nieautoryzowany dostęp do zasobów.
Brak autoryzacji w StylemixThemes MasterStudy LMS Pro umożliwia dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem dotyczy wersji MasterStudy LMS Pro przed 4.7.16.

