Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Interfejs webowy genucenter przed wersją 8.0p11 niepotrzebnie ujawnia wrażliwe klucze uwierzytelniania i szyfrowania SNMP w odpowiedziach HTTP dla użytkowników z rolą „Serwis” lub „Administrator”.
Podatność w bibliotece Keras (do wersji 3.13.2 włącznie) umożliwia odczyt dowolnego pliku HDF5 z systemu ofiary. Wynika to z niepełnej poprawki dla CVE-2026-1669 i braku weryfikacji właściwości `dataset.is_virtual` w metodach `H5IOStore._verify_dataset()` oraz `file_editor.py`. Atakujący może dostarczyć złośliwy plik modelu `.keras` lub wag `.h5` zawierający wirtualny zestaw danych (VDS) odnoszący się do zewnętrznych plików HDF5.
Podatność w Stormshield Network Security pozwala na uwierzytelnienie przy użyciu cofniętego certyfikatu klienta w portalu captive-admin. Atakujący posiadający taki certyfikat może uzyskać dostęp administracyjny.
Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Actions/InfoAction.php.
W MediaWiki przed wersjami 1.46.0, 1.45.4, 1.44.6 i 1.43.9 występuje podatność na ataki XSS w pliku resources/src/mediawiki.Api/index.js. Brak odpowiedniej neutralizacji danych wejściowych podczas generowania stron internetowych umożliwia wstrzyknięcie złośliwego skryptu.
Podatność XSS w rozszerzeniu SyntaxHighlight_GeSHi dla MediaWiki umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript poprzez nieprawidłową neutralizację danych wejściowych podczas generowania strony. Problem dotyczy pliku includes/SyntaxHighlight.php.
Podatność w MediaWiki umożliwia atakującemu manipulację danymi uwierzytelniającymi poprzez pliki API i specjalne strony. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.
Podatność w rozszerzeniu AbuseFilter Wikimedia Foundation umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji. Problem występuje w pliku includes/Api/QueryAbuseFilters.php.
Podatność na deserializację niezaufanych danych w MediaWiki. Problem występuje w plikach WikiImporter.php, WikiRevision.php oraz LogEntryBase.php. Luka dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6, 1.43.9.
Podatność w MediaWiki umożliwia nieautoryzowanemu aktorowi dostęp do wrażliwych informacji poprzez plik includes/Api/ApiUserrights.php. Problem dotyczy wersji przed 1.46.0, 1.45.4, 1.44.6 oraz 1.43.9.
Serwer inferencyjny NVIDIA Triton dla systemu Linux zawiera podatność umożliwiającą atakującemu wywołanie błędu użycia po zwolnieniu (use-after-free). Udane wykorzystanie tej luki może prowadzić do odmowy usługi (DoS).
W bibliotece FatFs w wersji R0.16 i wcześniejszych wykryto podatność polegającą na pozostawieniu niezainicjalizowanych klastrów podczas rozszerzania plików poza koniec pliku (EOF) za pomocą funkcji f_lseek(). Nowo przydzielone klastry nie są wypełniane zerami, co może prowadzić do ujawnienia danych.
Podatność w bibliotece FatFs R0.16 i wcześniejszych pozwala na pominięcie sprawdzania spójności pamięci podręcznej (dirty-cache) poprzez zawinięcie przy odejmowaniu bez znaku w funkcjach f_read() i f_write(). Problem występuje podczas przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.
Podatność w bibliotece FatFs przed wersją R0.16, używającej skanowania GPT z włączoną opcją 'FF_LBA64 = 1', powoduje nieskończoną pętlę podczas montowania systemu plików. Problem wynika z nieograniczonej liczby iteracji opartej na polu GPTH_PtNum w nagłówku GPT, co prowadzi do bardzo długiego lub nieskończonego czasu montowania.
Biblioteka FatFs w wersji R0.16 i wcześniejszych zawiera błąd dzielenia przez zero w logice synchronizacji exFAT. Specjalnie spreparowane metadane mogą spowodować, że wartość n_fatent - 2 wyniesie zero podczas operacji zapisu/synchronizacji, prowadząc do awarii systemu.
W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting). Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych, co umożliwia wstrzyknięcie złośliwego skryptu.
W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron internetowych. Problem dotyczy wersji od 4.8.2.23 do 4.8.3.0.
W oprogramowaniu Foreman stwierdzono podatność, która umożliwia uwierzytelnionym użytkownikom z uprawnieniem 'view_keypairs' pobieranie prywatnych kluczy SSH z innych organizacji poprzez bezpośrednie zapytania o identyfikatory par kluczy. Problem wynika z ominięcia zakresowania taksonomicznego, co prowadzi do nieautoryzowanego dostępu do danych między dzierżawcami.
W Foremanie odkryto podatność ujawnienia informacji między dzierżawami. Uwierzytelniony użytkownik z uprawnieniami do edycji hosta może ominąć kontrolę dostępu i uzyskać wrażliwe dane infrastruktury z nieautoryzowanych organizacji i lokalizacji.
W Foreman znaleziono lukę w kontroli dostępu, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji hosta na zmianę istniejącego nadpisania wartości wyszukiwania na inny host. Osiąga się to poprzez modyfikację pola dopasowania za pomocą zagnieżdżonych atrybutów hosta, co skutecznie omija kontrole autoryzacji.

