Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-35058
Średnie

Nieprawidłowa walidacja długości pakietu podczas ekstrakcji klucza tls-crypt-v2 w OpenVPN od wersji 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 pozwala uwierzytelnionym atakującym na wywołanie krytycznego błędu i spowodowanie odmowy usługi za pomocą specjalnie przygotowanego pakietu.

CVE-2026-11584
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php?action=edit. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.

CVE-2026-11583
Średnie

W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php. Manipulacja argumentem className prowadzi do wstrzykiwania SQL.

CVE-2026-46486
Średnie

MVT (Mobile Verification Toolkit) zawiera podatność na przejście ścieżki związaną z niesanitizowanymi identyfikatorami plików w przetwarzaniu kopii zapasowych iOS przed wersją 2026.5.12. Problem ten został naprawiony w wersji 2026.5.12.

CVE-2026-11559
Średnie

W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /view_account.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co może być przeprowadzone zdalnie.

CVE-2026-11558
Średnie

W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która umożliwia atak SQL injection poprzez manipulację argumentem rate/salary_rate w pliku /home_salary.php. Atak można przeprowadzić zdalnie.

CVE-2026-10787
Średnie

Brak autoryzacji w API grup użytkowników usuniętych w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach enumerację metadanych usuniętych grup użytkowników za pomocą odpowiednio skonstruowanego żądania API.

CVE-2026-10786
Średnie

Nieprawidłowa kontrola dostępu w ustawieniach integracji biletowej w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach uzyskanie haseł w postaci niezaszyfrowanej dla skonfigurowanych integracji biletowych za pomocą odpowiednio skonstruowanego żądania API.

CVE-2026-10544
Średnie

Nieprawidłowe neutralizowanie specjalnych elementów w szablonach rotacji haseł wbudowanego dostawcy PAM w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi z dostępem do zapisu w skarbcu wykonywanie dowolnych poleceń na systemach zarządzanych przez dotkniętego dostawcę PAM.

CVE-2026-11554
Średnie

W podatności CVE-2026-11554 zidentyfikowano problem w TOTOLINK CP450 w wersji 4.1.0cu.747, dotyczący pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.

CVE-2026-11552
Średnie

W systemie SourceCodester Online Examination & Learning Management System oraz Syllabus-aligned Learning Management and Examination System 1.0 zidentyfikowano podatność w pliku import_users.php. Manipulacja argumentem raw_password z wykorzystaniem hasła CICT_2026 prowadzi do użycia twardo zakodowanego hasła.

CVE-2026-46314
Średnie

W jądrze Linux w sterowniku DRM dla V3D wykryto podatność umożliwiającą lokalnemu użytkownikowi wywołanie nieskończonej pętli w kontekście jądra. Atak polega na przesłaniu pustego rozszerzenia multisync z samoodnoszącym się wskaźnikiem listy, co omija istniejące zabezpieczenia i blokuje wątek wywołujący, trwale obciążając rdzeń procesora.

CVE-2026-46313
Średnie

W sterowniku Intel IPU6 dla jądra Linux wykryto błąd dereferencji wskaźnika błędu w funkcji ipu6_pci_probe(). W ścieżce obsługi błędu zmienna isp->psys jest sprawdzana jako wskaźnik błędu (ERR_PTR), a nie NULL, co prowadzi do dereferencji nieprawidłowego wskaźnika. Problem został zgłoszony przez narzędzie Smatch.

CVE-2026-46312
Średnie

W jądrze Linux w podsystemie videobuf2 brakowało ustawienia flag VMA (VM_DONTEXPAND i VM_DONTDUMP) w funkcji vb2_dma_sg_mmap, co powodowało ostrzeżenie WARN_ON podczas mapowania pamięci dma-buf w sterowniku Apple ISP. Łata dodaje te flagi, aby zachować spójność z zachowaniem vb2_dma_contig.

CVE-2026-46310
Średnie

W jądrze Linuxa w sterowniku VSP1 dla układów Renesas wykryto błąd powodujący dereferencję pustego wskaźnika podczas wyładowywania modułu na platformach gen 4. Problem wynika z wywołania niewłaściwej funkcji czyszczącej (vsp1_drm_cleanup zamiast vsp1_vspx_cleanup).

CVE-2026-46305
Średnie

W jądrze Linux w sterowniku staging rtl8723bs wykryto podatność polegającą na braku sprawdzenia poprawności alokacji pamięci przez funkcję kzalloc_flex() w procedurze rtw_cbuf_alloc. Może to prowadzić do dereferencji wskaźnika NULL, jeśli alokacja się nie powiedzie.

CVE-2026-46302
Średnie

W jądrze Linux usunięto ograniczenie pozwalające tylko na jednoczesne otwarcie pliku /sys/fs/selinux/policy. Poprzednio każdy proces mógł zablokować innym odczyt polityki SELinux, co stanowiło problem bezpieczeństwa. Łatka eliminuje flagę policy_opened i skraca sekcję krytyczną z mutexem polityki.

CVE-2026-46298
Średnie

W jądrze Linux w module pseries/papr-hvpipe wykryto błąd wyścigu (race condition) między obsługą ioctl/release a przerwaniem. Jeśli przerwanie wystąpi na tym samym rdzeniu podczas wykonywania tych handlerów, może dojść do zakleszczenia (deadlock).

CVE-2026-46297
Średnie

W jądrze Linux w sterowniku libwx wykryto podatność polegającą na użyciu request_threaded_irq() z główną procedurą obsługi przerwań, ale bez procedury wątku, przy jednoczesnym ustawieniu flagi IRQF_ONESHOT. Powoduje to ostrzeżenie WARNING od czasu łatki aef30c8d569c, która dodaje sprawdzanie tej kombinacji. Problem rozwiązano przez zastąpienie wywołania request_irq() i usunięcie zbędnej flagi.

CVE-2026-46296
Średnie

W jądrze Linuxa wykryto podatność w sterowniku SPI s3c64xx. Przeniesienie alokacji kanałów DMA z funkcji probe() do s3c64xx_spi_prepare_transfer() nie zostało odzwierciedlone w funkcji remove(), co prowadzi do wywołania dereferencji wskaźnika NULL podczas odłączania sterownika.

PoprzedniaStrona 159 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS