Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.
CodexBar w wersjach przed 0.33.0 zawiera podatność na przekazywanie poświadczeń, która umożliwia atakującym z sieci lokalnej przechwytywanie wrażliwych poświadczeń. Atakujący mogą przekierowywać żądania z poświadczeniami do niezamierzonych hostów lub portów, co pozwala na przechwycenie danych takich jak ciasteczka przeglądarki, tokeny dostępu czy klucze API.
FPDI to zbiór klas PHP, które umożliwiają odczytywanie stron z istniejących dokumentów PDF i używanie ich jako szablonów w FPDF. Przed wersją 2.6.7, atakujący mógł przesłać mały, złośliwy plik PDF, co prowadziło do awarii skryptu po stronie serwera z powodu wyczerpania pamięci lub przekroczenia czasu wykonywania skryptu.
W bibliotece parsera kodeka H.265 GStreamer (gst-plugins-bad) odkryto błąd przepełnienia bufora stosu. Błąd ten występuje podczas analizy wiadomości SEI dotyczącej okresu buforowania, gdzie używana jest nieprawidłowa granica pętli, co może prowadzić do zapisu poza przydzielonymi granicami pamięci stosu.
W GStreamerze w parserze PPS dla H.266/VVC odkryto podatność na zapis poza granicami. W trakcie przetwarzania wieloslice'owego w funkcji gst_h266_parser_parse_picture_partition() pętla nie sprawdza, czy indeks slice'a pozostaje w granicach, co prowadzi do zapisu poza trzy tablice o stałej wielkości.
mcp-server-kubernetes to serwer Model Context Protocol do zarządzania klastrami Kubernetes. W wersjach przed 3.7.0 narzędzie kubectl_generic przekazuje dostarczone przez użytkownika flagi bez żadnej listy dozwolonych, co umożliwia atak eskalacji uprawnień w środowiskach Kubernetes.
Quest Bot to otwartoźródłowy nowoczesny bot Discord, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia bota, w tym kanał do przesyłania transkryptów biletów. Użytkownicy mogli ustawić ten kanał na taki, który mogli czytać, co prowadziło do ujawnienia prywatnych wiadomości biletów.
Quest Bot to nowoczesny bot Discord typu open source, który przed wersją 1.0.4 pozwalał użytkownikom konfigurować ustawienia logowania, co skutkowało rejestrowaniem treści usuniętych i edytowanych wiadomości z każdego kanału, w tym prywatnych, do których użytkownik nie miał dostępu.
Quest Bot to nowoczesny bot Discord, który przed wersją 1.0.3 pozwalał normalnym użytkownikom na tworzenie zgłoszeń z powodami zawierającymi wzmianki @everyone, @here, wzmianki użytkowników lub ról. W momencie tworzenia zgłoszenia, bot publikował kontrolowany przez atakującego powód w nowym kanale zgłoszeń, nie tłumiąc wzmianków.
W edytorze tekstu Vim przed wersją 9.2.0496 występuje podatność na wstrzykiwanie kodu w funkcji s:stepmatch() wtyczki dla typu pliku cucumber. Wzorce definicji kroków odczytywane z plików .rb mogą być wykorzystane do wykonania dowolnych poleceń Ruby, co stwarza ryzyko wykonania złośliwego kodu.
Problem z logowaniem został rozwiązany poprzez poprawę redakcji danych. Aplikacja może mieć dostęp do wrażliwych danych użytkownika.
Problem z autoryzacją został rozwiązany poprzez poprawę zarządzania stanem. Aplikacja może być w stanie ujawnić wrażliwe informacje użytkownika.
Problem dotyczy niewłaściwego zarządzania dowiązaniami symbolicznymi, co może pozwolić aplikacji na dostęp do chronionych danych użytkownika. Został naprawiony w macOS Sequoia 15.4.
Problem z dostępem został rozwiązany poprzez dodatkowe ograniczenia w piaskownicy. Został naprawiony w macOS Tahoe 26.1.
Problem ten został rozwiązany poprzez poprawione zarządzanie dowiązaniami symbolicznymi. Aplikacja może uzyskać dostęp do chronionych danych użytkownika.
Problem z prywatnością został rozwiązany poprzez usunięcie podatnego kodu. Problem ten został naprawiony w macOS Sequoia 15.4.
Problem został rozwiązany poprzez poprawę kontroli. Został naprawiony w macOS Sequoia 15.4, macOS Sonoma 14.7.5 oraz macOS Ventura 13.7.5.
Problem z analizą ścieżek katalogów został rozwiązany poprzez poprawioną walidację ścieżek. Aplikacja może mieć możliwość dostępu do wrażliwych danych użytkownika.
Problem z uprawnieniami został rozwiązany poprzez wprowadzenie dodatkowych ograniczeń. Aplikacja może być w stanie spowodować nieoczekiwane zakończenie działania systemu.
aiograpi to asynchroniczne API Instagramu dla Pythona. W wersjach przed 0.9.10 akceptowano ścieżki wyzwań dostarczane przez serwer, co mogło prowadzić do budowania adresów URL żądań bez wcześniejszej walidacji, co stwarzało ryzyko ataków.

