Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Juicer w wersji do 1.12.18 nie ucieka z pól odpowiedzi API zdalnego źródła przed ich renderowaniem na stronie ustawień administratora. Atakujący, którzy kontrolują dane z podłączonego źródła, mogą wstrzykiwać skrypty, które wykonują się w przeglądarce administratora podczas ładowania strony ustawień.
Easy Twitter Feeds w wersji przed 1.2.13 zawiera podatność na atak typu cross-site request forgery w obsłudze akcji duplicate_post, która nie weryfikuje nonce. Atakujący mogą oszukać uwierzytelnionego użytkownika, aby odwiedził spreparowany link, który duplikuje dowolny post, niezależnie od jego typu.
Sharp to framework zarządzania treścią zbudowany dla Laravel jako pakiet. W wersjach od 9.0.0 do przed 9.22.3, punkty końcowe create i store funkcji Szybkiego Tworzenia nie wymuszały żadnej kontroli autoryzacji.
Russh to biblioteka SSH w języku Rust, która w wersjach od 0.34.0-beta.1 do przed wersją 0.61.0 nie egzekwowała zasad dotyczących identyfikacji SSH tak rygorystycznie jak OpenSSH. Problem ten pozwalał na przyjmowanie nieprawidłowych linii identyfikacyjnych przez serwer, co mogło prowadzić do wykorzystania zasobów połączenia w fazie wstępnej autoryzacji.
Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.37.0 do przed 0.61.0, w ścieżce uwierzytelniania interaktywnego klienta russh, złośliwy serwer SSH mógł wysłać USERAUTH_INFO_REQUEST z kontrolowaną przez atakującego liczbą komunikatów, co prowadziło do wykorzystania tej liczby bez wcześniejszej walidacji danych.
Russh to biblioteka klienta i serwera SSH napisana w Rust. W wersjach od 0.34.0-beta.1 do przed 0.61.0, stan autoryzacji użytkownika jest przechowywany wewnętrznie, co może prowadzić do nieprawidłowego przetwarzania żądań autoryzacyjnych, gdy zmienia się użytkownik lub usługa.
W ImageMagick przed wersjami 7.1.2.23 i 6.9.13-48, specjalnie spreparowany obraz MSL może spowodować użycie pamięci po jej zwolnieniu (heap-use-after-free).
W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brak sprawdzenia w koderze MNG umożliwia odczytanie większej liczby obrazów niż pozwala na to polityka limitu listy, co prowadzi do nadmiernego zużycia zasobów.
ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 ma podatność na nadmierne odczytywanie pamięci o długości 24 bajtów podczas wykonywania zniekształcenia wielomianowego przy określonych argumentach. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.
W bibliotece bit7z przed wersją 4.0.12 występuje podatność na nadpisanie plików w wyniku ataku symlink na przewidywalne pliki tymczasowe podczas aktualizacji archiwum. Problem został naprawiony w wersji 4.0.12.
W ImageMagick przed wersjami 6.9.13-48 i 7.1.2-22 nieprawidłowa wartość parametru connected-components:keep-top może prowadzić do odczytu poza zakresem pamięci sterty podczas wykonywania operacji na połączonych komponentach.
ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 zawierał błąd 'off by one' w enkoderze meta, co mogło prowadzić do odczytu poza granicami jednego bajtu. Problem został naprawiony w wersjach 6.9.13-47 i 7.1.2-22.
W ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 brakowało sprawdzenia w dekoderze PSD, co umożliwiało ominięcie polityki ograniczeń długości listy podczas dekodowania obrazów PSD. Inne ograniczenia bezpieczeństwa nadal obowiązywały.
ImageMagick przed wersjami 6.9.13-47 i 7.1.2-22 miał lukę, która pozwalała na odczyt poza granicami pamięci podczas zapisywania pliku wyjściowego IPTC. Problem został naprawiony w wymienionych wersjach.
Błędne obliczenie rozmiaru bufora w generatorze kluczy epok w OpenVPN ovpn-dco-win w wersjach od 2.0.0 do 2.8.3 umożliwia zdalnemu uwierzytelnionemu partnerowi wywołanie przepełnienia bufora w stercie oraz uszkodzenia pamięci jądra poprzez spreparowany pakiet danych, co prowadzi do awarii systemu (odmowa usługi).
W podatności CVE-2026-0269 występuje błąd w zarządzaniu pamięcią podczas przetwarzania ruchu tunelowego w oprogramowaniu Palo Alto Networks PAN-OS®. Umożliwia to uwierzytelnionemu użytkownikowi inicjowanie restartów systemu za pomocą złośliwie skonstruowanego pakietu.
W podatności CVE-2026-0268 występuje możliwość obejścia zabezpieczeń w agencie Prisma Access dla systemu Linux, co pozwala lokalnemu atakującemu na kierowanie ruchu sieciowego poza tunel VPN.
Podatność w aplikacji Palo Alto Networks GlobalProtect na macOS umożliwia lokalnemu użytkownikowi poznanie skonfigurowanych kodów dostępu do wyłączania, odłączania lub odinstalowywania aplikacji. Po poznaniu kodu użytkownik może wykonać te czynności nawet jeśli konfiguracja GlobalProtect normalnie by na to nie zezwalała.
Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach od 5.15 do przed wersją 2026.6, VCS_RESTRICT_PRIVATE nieprawidłowo uwzględniał niektóre przejściowe zakresy IPv6, adresy multicastowe oraz niektóre półprywatne zakresy IPv4, co pozwalało na ominięcie ograniczeń dotyczących prywatnych zakresów adresów.
Snappy to biblioteka PHP umożliwiająca generowanie miniaturek, zrzutów ekranu lub plików PDF z adresu URL lub strony HTML. Przed wersją 1.7.0 występowała podatność na SSRF oraz odczyt lokalnych plików za pomocą opcji xsl-style-sheet.

