Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-48092
Średnie

7-Zip to archiwizator plików z wysokim współczynnikiem kompresji. Wersje od 9.34 do 26.00 zawierają ujawnienie pamięci heap z powodu przepełnienia całkowitego w funkcji SquashFS ReadBlock na 32-bitowych wersjach.

CVE-2026-38579
Średnie

Wielokrotne podatności typu Cross-Site Scripting (XSS) w damasac thaipalliative_lte do wersji 3.0 umożliwiają zdalnym atakującym wstrzykiwanie dowolnych skryptów webowych lub HTML poprzez parametry idFormMain, id oraz ptid_key w pliku /substudy/ezform.php.

CVE-2026-37737
Średnie

Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.

CVE-2026-11335
Średnie

W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano lukę, która wpływa na funkcję session_start w pliku /login-form.php. Manipulacja argumentem UserAuthData może prowadzić do ataku typu session fixation, który może być przeprowadzony zdalnie.

CVE-2026-11333
Średnie

W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie danych studentów poprzez manipulację argumentem Student-Data-CSV w pliku upload_student_data.php. Atak można przeprowadzić zdalnie.

CVE-2025-59174
Średnie

Wersje Ericsson Packet Core Controller (PCC) przed 1.39 zawierają podatność, która pozwala atakującemu na wysłanie dużej liczby specjalnie przygotowanych wiadomości, co może prowadzić do degradacji usług.

CVE-2020-25900
Średnie

HelloTalk w wersji 3.4.1 przechowuje pełne współrzędne GPS, nawet gdy użytkownik zamierzał udostępnić jedynie kraj lub miasto. Współrzędne te są umieszczane w bazie danych na urządzeniach innych użytkowników.

CVE-2026-50235
Średnie

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na refleksyjny atak typu cross-site scripting w zaawansowanych parametrach wyszukiwania, które nieprawidłowo sanitizują dane wejściowe użytkownika przed ich wyświetleniem w formularzach wyszukiwania. Atakujący mogą wstrzykiwać złośliwe skrypty przez niesanitizowane parametry wyszukiwania, co pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach użytkowników.

CVE-2026-50233
Średnie

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.

CVE-2026-50230
Średnie

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane odzwierciedlone ataki typu cross-site scripting w punkcie końcowym server.log. Umożliwia to atakującym wstrzykiwanie dowolnego kodu HTML i JavaScript poprzez parametr wyszukiwania.

CVE-2026-50263
Średnie

W serwerze X.Org X oraz Xwayland wykryto podatność use-after-free w funkcji CreateSaverWindow(). Klient może wywołać odczyt po zwolnieniu pamięci poprzez zmianę atrybutów okna i wymuszenie wygaszacza ekranu, co prowadzi do ujawnienia informacji.

CVE-2026-50262
Średnie

W serwerze X.Org X oraz Xwayland w funkcji __glXDisp_ChangeDrawableAttributes() wykryto błąd odczytu poza zakresem. Nieprawidłowe sprawdzenie rozmiaru może spowodować odczyt kontrolowanej przez klienta liczby bajtów poza buforem żądania, prowadząc do ujawnienia informacji. Istnieje również ścieżka zapisu, ale wymaga ona klientów z odwróconą kolejnością bajtów, co jest domyślnie wyłączone.

CVE-2026-25659
Średnie

Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, powodując degradację usług.

CVE-2026-25658
Średnie

Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.

CVE-2026-25657
Średnie

Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe przetwarzanie syntaktycznie nieprawidłowej struktury, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.

CVE-2026-11346
Średnie

Podatność typu Server-Side Request Forgery (SSRF) w funkcji tworzenia procesów w linqi pozwala uwierzytelnionemu atakującemu na badanie komponentów wewnętrznej sieci. Atakujący może skonstruować odpowiedni proces z komponentem żądania HTTP, co umożliwia serwerowi wysyłanie dowolnych żądań HTTP.

CVE-2026-11345
Średnie

Podatność na niewłaściwą autoryzację w punkcie końcowym /api/Cdn/GetFile w linqi pozwala nieautoryzowanym, zdalnym atakującym na obejście kontroli dostępu do plików. Funkcja ValidateAnonFileAccess błędnie przyznaje dostęp, gdy podany jest parametr zapytania 'AnonFile' zawierający dokładnie 256 znaków.

CVE-2026-21038
Średnie

Podatność w sterowniku USB Samsung Android dla systemu Windows przed wersją 1.9.5.0 wynika z nieprawidłowej walidacji danych wejściowych. Lokalny atakujący może wykorzystać ten błąd do uzyskania dostępu do pamięci poza dozwolonym zakresem.

CVE-2026-21036
Średnie

Podatność w przeglądarce Samsung Internet przed wersją 30.0.0.39 wynika z nieprawidłowej autoryzacji, co umożliwia lokalnym atakującym dostęp do poufnych informacji.

CVE-2026-21028
Średnie

Nieprawidłowa kontrola dostępu w usłudze AuditLogService przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.

PoprzedniaStrona 167 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS