Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność typu cross-site scripting (XSS) w Microsoft Office SharePoint umożliwia nieautoryzowanemu atakującemu wstrzyknięcie złośliwego skryptu do strony internetowej. Atak może zostać przeprowadzony zdalnie przez sieć.
Podatność umożliwia atakującemu dostarczenie spreparowanego zewnętrznego adresu URL, który może przekierować użytkownika na niezamierzoną stronę internetową.
W aplikacji klienckiej ReadyCloud firmy NETGEAR występuje niewłaściwa implementacja walidacji certyfikatów TLS, co może umożliwić atakującemu przeprowadzenie ataków typu man-in-the-middle (MiTM), wpływając na poufność produktu.
Niewystarczające zarządzanie konfiguracją w wymienionych urządzeniach umożliwia uwierzytelnionym administratorom podłączonym do lokalnej sieci manipulowanie systemem.
W urządzeniach NETGEAR występuje luka związana z niewystarczającą walidacją danych wejściowych, która pozwala uwierzytelnionym administratorom w lokalnej sieci na manipulację integralnością routera.
W niektórych modelach routerów NETGEAR występuje luka związana z niewystarczającą walidacją danych wejściowych, która pozwala uwierzytelnionemu administratorowi z dostępem do lokalnej sieci na przesyłanie spreparowanych danych, omijających ograniczenia interfejsu zarządzania. Może to prowadzić do nieautoryzowanej modyfikacji chronionego oprogramowania lub funkcjonalności routera.
W podatności CVE-2026-0415 występuje niewystarczająca walidacja danych wejściowych w wymienionych modelach NETGEAR, co pozwala uwierzytelnionym administratorom podłączonym do lokalnej sieci na nieautoryzowane modyfikacje oprogramowania i funkcjonalności routera.
W podatności CVE-2026-0414 występuje niewystarczająca walidacja danych wejściowych w wymienionych modelach NETGEAR, co pozwala uwierzytelnionym administratorom podłączonym do lokalnej sieci na nieautoryzowane modyfikacje oprogramowania i funkcjonalności routera.
W podatności CVE-2026-0413 występuje przepełnienie bufora spowodowane niewystarczającą walidacją danych wejściowych w wymienionych modelach NETGEAR. Umożliwia to uwierzytelnionym administratorom podłączonym do lokalnej sieci dokonywanie nieautoryzowanych modyfikacji oprogramowania i funkcjonalności routera.
W podatności CVE-2026-0412 występuje niewystarczająca walidacja danych wejściowych w routerze NETGEAR JR6150, co pozwala administratorom w lokalnej sieci na nieautoryzowane modyfikacje oprogramowania i funkcjonalności routera.
Zautoryzowani administratorzy podłączeni do lokalnej sieci mogą uzyskać podwyższone uprawnienia do routera i wprowadzać nieautoryzowane zmiany w oprogramowaniu oraz funkcjonalności routera.
Problem bezpieczeństwa w urządzeniach NETGEAR Orbi serii 370, który może pozwolić atakującemu na przechwycenie i manipulację ruchem między routerem a Internetem. W wyniku tego, atakujący może uruchomić polecenia na urządzeniu, gdy administrator wykonuje określone działania zarządzające.
Występuje podatność CWE-611 związana z niewłaściwym ograniczeniem odniesienia do zewnętrznych jednostek XML, która może prowadzić do ujawnienia informacji o zawartości plików po stronie serwera. Atakujący z kontem użytkownika Data Center Expert może przesłać spreparowane ładunki XML do punktów końcowych usługi SOAP.
W Fortinet FortiPortal w wersjach 7.4.0 do 7.4.7, 7.2.0 do 7.2.8 oraz 7.0 we wszystkich wersjach występuje podatność związana z niewłaściwą kontrolą dostępu. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu.
W Fortinet FortiOS i FortiProxy występuje podatność, która pozwala uwierzytelnionemu administratorowi na wykonanie skryptów lua za pomocą odpowiednio skonstruowanych poleceń CLI. Dotyczy to wielu wersji FortiOS i FortiProxy.
W jądrze Linuxa wykryto podatność w mechanizmie DAMON (Data Access Monitoring). Funkcja damon_start() nie sprawdzała, czy parametr min_region_sz jest potęgą dwójki, co pozwalało na ustawienie nieprawidłowych zakresów adresów regionów. Problem został już załatany w nowszej wersji jądra.
W jądrze Linux w sterowniku Nouveau wykryto wyciek pamięci. Gdy funkcja aperture_remove_conflicting_pci_devices() zawiedzie podczas inicjalizacji, ścieżka błędu nie zwalnia poprawnie struktury nvkm_device, co prowadzi do wycieku zarówno samego urządzenia, jak i referencji z pci_enable_device().
Podatność na niekontrolowane zużycie zasobów w module Version standardowej biblioteki Elixir pozwala atakującemu, który kontroluje ciąg wersji, na spowodowanie odmowy usługi poprzez wyczerpanie CPU i pamięci.
Logseq jest podatny na lukę umożliwiającą ucieczkę z piaskownicy, gdzie wtyczki działające w piaskownicowych iframe mogą wstrzykiwać dowolne atrybuty HTML do elementu kontenera w hostującym DOM.
Logseq jest podatny na przechowywane ataki XSS. Złośliwy plugin może wprowadzić ładunek JavaScript w polu 'name' pliku 'package.json', co pozwala na wykonanie dowolnego kodu w kontekście uprzywilejowanym.

