Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-52908
Krytyczne

W sterowniku Wi-Fi w procesorach mobilnych i noszalnych Samsung Exynos 980, 850, 1280, 1330, 1380, 1480, 1580, W920, W930 oraz W1000 odkryto problem. Nieprawidłowe przetwarzanie polecenia NL80211 prowadzi do przepełnienia bufora za pomocą określonej wiadomości ioctl.

CVE-2024-36057
Krytyczne

Koha Library w wersjach przed 23.05.10 nie sanitizuje nazw plików kontrolowanych przez użytkownika przed rozpakowaniem, co prowadzi do możliwości zdalnego wykonania kodu. Linia "qx/unzip $filename -d $dirname/;" w pliku upload-cover-image.pl jest podatna na wstrzyknięcie poleceń przez metaznaki powłoki.

CVE-2026-4277
Krytyczne

W wersjach 6.0 przed 6.0.4, 5.2 przed 5.2.13 oraz 4.2 przed 4.2.30 odkryto problem związany z brakiem walidacji uprawnień dla instancji modeli inline podczas przesyłania sfałszowanych danych `POST` w `GenericInlineModelAdmin`. Starsze, nieobsługiwane wersje Django (takie jak 5.0.x, 4.1.x i 3.2.x) mogły również być dotknięte tą podatnością.

CVE-2026-35458
Krytyczne

Gotenberg to API do konwersji formatów dokumentów. W wersjach 8.29.1 i wcześniejszych, Gotenberg wykorzystuje dlclark/regexp2 do kompilacji wzorców zakresu dostarczonych przez użytkowników, nie ustawiając odpowiedniego limitu czasowego, co może prowadzić do zablokowania pracowników na czas nieokreślony.

CVE-2026-30079
Krytyczne

W OpenAirInterface V2.2.0 AMF, wiadomości przychodzące w niewłaściwej kolejności powodują błędne przejścia stanu podczas procedury rejestracji UE. To umożliwia całkowite ominięcie procesu uwierzytelniania.

CVE-2026-21413
KrytyczneEPSS 50%

Podatność przepełnienia bufora sterty w funkcji lossless_jpeg_load_raw biblioteki LibRaw. Specjalnie spreparowany złośliwy plik może spowodować przepełnienie bufora sterty.

CVE-2026-20911
Krytyczne

Podatność przepełnienia bufora sterty w funkcji HuffTable::initval biblioteki LibRaw. Specjalnie spreparowany złośliwy plik może spowodować przepełnienie bufora sterty, co umożliwia atakującemu zdalne wykonanie kodu lub awarię aplikacji.

CVE-2026-20889
Krytyczne

W funkcji x3f_thumb_loader biblioteki LibRaw (commit d20315b) występuje podatność na przepełnienie bufora sterty. Specjalnie spreparowany złośliwy plik może spowodować przepełnienie bufora sterty.

CVE-2025-62818
Krytyczne

W procesorach mobilnych Samsung, procesorach noszalnych oraz modemach Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000, Modem 5123, Modem 5300 i Modem 5400 odkryto problem związany z zapisem poza granicami. Problem ten występuje z powodu niezgodności między wartościami TP-UDHI a UDL podczas przetwarzania pakietu SMS TP-UD.

CVE-2025-52909
Krytyczne

W sterowniku Wi-Fi w procesorach mobilnych i noszalnych Samsung Exynos 980, 850, 1280, 1330, 1380, 1480, 1580, W920, W930 i W1000 odkryto problem. Nieprawidłowe przetwarzanie polecenia NL80211 prowadzi do przepełnienia bufora za pomocą określonej wiadomości ioctl.

CVE-2026-5735
Krytyczne

W przeglądarce Firefox 149.0.1 i kliencie poczty Thunderbird 149.0.1 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich powodowały uszkodzenie pamięci, co mogło potencjalnie umożliwić wykonanie dowolnego kodu. Luka została naprawiona w wersjach 149.0.2.

CVE-2026-5734
Krytyczne

W produktach Firefox ESR 140.9.0, Thunderbird ESR 140.9.0, Firefox 149.0.1 oraz Thunderbird 149.0.1 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich prowadziły do uszkodzenia pamięci, co mogło umożliwić zdalne wykonanie kodu.

CVE-2026-5731
Krytyczne

W przeglądarkach Firefox ESR 115.34.0, Firefox ESR 140.9.0, Thunderbird ESR 140.9.0, Firefox 149.0.1 i Thunderbird 149.0.1 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich prowadziły do uszkodzenia pamięci, co mogło umożliwić zdalne wykonanie kodu. Luka została załatana w Firefox 149.0.2, Firefox ESR 115.34.1, Firefox ESR 140.9.1, Thunderbird 149.0.2 i Thunderbird 140.9.1.

CVE-2026-28808
Krytyczne

W Erlang OTP (moduł inets) wykryto podatność polegającą na nieprawidłowej autoryzacji. Gdy dyrektywa script_alias mapuje prefiks URL do katalogu poza DocumentRoot, mod_auth ocenia reguły dostępu względem ścieżki DocumentRoot, a mod_cgi wykonuje skrypt w ścieżce z ScriptAlias. Ta niezgodność ścieżek umożliwia nieuwierzytelnionym atakującym dostęp do skryptów CGI chronionych regułami katalogowymi.

CVE-2026-22679
Krytyczne

Weaver (Fanwei) E-cology w wersjach przed 20260312 zawiera podatność na zdalne wykonanie kodu bez uwierzytelnienia w punkcie końcowym /papi/esearch/data/devops/dubboApi/debug/method, co pozwala atakującym na wykonywanie dowolnych poleceń.

CVE-2021-4473
Krytyczne

System Zarządzania Zachowaniem w Internecie Tianxin zawiera podatność na wstrzykiwanie poleceń w punkcie końcowym komponentu Reporter, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez dostarczenie spreparowanego parametru objClass zawierającego metaznaki powłoki oraz przekierowanie wyjścia. Atakujący mogą wykorzystać tę podatność do zapisywania złośliwych plików PHP w katalogu głównym serwera WWW i osiągnięcia zdalnego wykonania kodu z uprawnieniami procesu serwera WWW.

CVE-2026-1114
Krytyczne

W wersji 2.1.0 aplikacji parisneo/lollms zarządzanie sesjami jest podatne na niewłaściwą kontrolę dostępu z powodu użycia słabego klucza tajnego do podpisywania tokenów JWT. Atakujący może przeprowadzić atak brute-force offline, aby odzyskać klucz tajny i sfałszować tokeny administracyjne.

CVE-2026-0740
Krytyczne

Wtyczka Ninja Forms - File Uploads dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'NF_FU_AJAX_Controllers_Uploads::handle_upload' we wszystkich wersjach do i włącznie z 3.3.26. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej strony.

CVE-2026-35471
Krytyczne

Podatność w goshs, prostym serwerze HTTP napisanym w Go, polega na braku zwracania wartości w funkcji tdeleteFile() po sprawdzeniu przejścia ścieżki. Problem ten został naprawiony w wersji 2.0.0-beta.3.

CVE-2026-35393
Krytyczne

goshs to prosty serwer HTTP napisany w Go. Przed wersją 2.0.0-beta.3, katalog do przesyłania plików metodą POST multipart nie był odpowiednio sanitizowany. Ta podatność została naprawiona w wersji 2.0.0-beta.3.

PoprzedniaStrona 118 z 562Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS