Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
W komponentach /api/create-car-image w bookcars v8.3 występuje podatność na uwierzytelnione przesyłanie dowolnych plików, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.
W funkcji ctts_box_write w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W wersji 2.4 GPAC MP4Box odkryto wyjątek punktu zmiennoprzecinkowego w funkcji gf_opus_parse_packet_header, co może prowadzić do awarii aplikacji. Ta podatność umożliwia atakującym spowodowanie Denial of Service (DoS) za pomocą spreparowanego pliku MP4.
W funkcji gf_isom_get_user_data_count w GPAC MP4Box v2.4 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W programach Malwarebytes w wersjach 4.x i 5.x (oraz Nebula od 21 października 2020) odkryto problem, który może spowodować, że parser zignoruje inne pliki konfiguracyjne przeglądarki, gdy wystąpi duża liczba plików preferencji Firefox. Może to prowadzić do odmowy usługi.
Aplikacje zakupione przez Dell/Alienware w wersjach przed 1.1.32.0 zawierają podatność na niewłaściwe rozwiązywanie linków przed dostępem do plików. Atakujący z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę podatność, co prowadzi do możliwości zapisu dowolnych plików.
Klient Dell Inventory Collector w wersjach przed 13.8.0 zawiera podatność na niewłaściwe rozwiązywanie linków przed dostępem do plików. Atakujący z niskimi uprawnieniami i lokalnym dostępem może wykorzystać tę podatność, co prowadzi do możliwości zapisu dowolnych plików.
Wersje InDesign Desktop 21.3, 20.5.3 i wcześniejsze są podatne na lukę typu out-of-bounds read, która może prowadzić do ujawnienia wrażliwej pamięci. Atakujący może wykorzystać tę podatność do ujawnienia poufnych informacji.
Wersje InDesign Desktop 21.3, 20.5.3 i wcześniejsze są podatne na lukę typu NULL Pointer Dereference, która może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność, aby spowodować zablokowanie aplikacji, co skutkuje odmową usługi.
Wersje InDesign Desktop 21.3, 20.5.3 i wcześniejsze są podatne na lukę typu NULL Pointer Dereference, która może prowadzić do awarii aplikacji. Wykorzystanie tej podatności wymaga interakcji użytkownika, ponieważ ofiara musi otworzyć złośliwy plik.
Adobe Experience Manager Forms JEE w wersjach LTS SP1, 6.5.24.0 i wcześniejszych zawiera podatność na trwałe Cross-Site Scripting (XSS). Umożliwia ona atakującemu z wysokimi uprawnieniami wstrzyknięcie złośliwych skryptów do podatnych pól formularzy.
Nieograniczona alokacja zasobów w AMD uProf może być wykorzystywana do nadmiernego zużycia zasobów systemowych, co może prowadzić do utraty dostępności.
Nieprawidłowa kontrola dostępu w AMD uProf może pozwolić lokalnemu atakującemu z uprawnieniami użytkownika na zapis do sekcji pamięci współdzielonej jądra, co może prowadzić do awarii lub odmowy usługi.
Nieprawidłowa kontrola dostępu do interfejsu rejestru w jednostce zarządzania pamięcią wejścia-wyjścia (IOMMU) może umożliwić uprzywilejowanemu atakującemu spowodowanie niekoherentnych dostępów przez zabezpieczony procesor AMD (ASP), co potencjalnie prowadzi do utraty integralności.
W podatnych modelach NETGEAR występuje luka związana z niewystarczającą walidacją danych wejściowych, która pozwala uwierzytelnionym administratorom podłączonym do lokalnej sieci na nieautoryzowane modyfikacje oprogramowania i funkcjonalności routera.
W systemie Windows NTLM występuje podatność, która umożliwia nieautoryzowanemu atakującemu przeprowadzenie spoofingu w sieci, co prowadzi do ujawnienia wrażliwych informacji.
W systemie Windows BitLocker brakuje uwierzytelnienia dla krytycznej funkcji, co umożliwia nieautoryzowanemu atakującemu obejście funkcji zabezpieczającej poprzez atak fizyczny.
W Hermes WebUI przed wersją 0.51.303 występuje podatność typu TOCTOU w funkcji git_discard, która pozwala atakującym na usunięcie plików poza skonfigurowanym obszarem roboczym. Możliwe jest to poprzez zastąpienie zweryfikowanego komponentu ścieżki symlinkiem po walidacji, ale przed usunięciem.
Hermes WebUI przed wersją 0.51.269 zawiera lukę w izolacji profilu, która pozwala uwierzytelnionym użytkownikom na dostęp do danych należących do innych profili. Umożliwia to atakującym wysyłanie zapytań do punktu końcowego wyszukiwania sesji bez filtrowania aktywnego profilu.
Hermes WebUI przed wersją 0.51.270 zawiera podatność na wyczerpanie zasobów, która pozwala nieautoryzowanym zdalnym atakującym na degradację dostępności usługi poprzez wielokrotne wywoływanie punktu końcowego opcji klucza dostępu bez zakończenia asercji.

