Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
7-Zip to archiwizator plików z wysokim współczynnikiem kompresji. Wersje od 9.34 do 26.00 zawierają ujawnienie pamięci heap z powodu przepełnienia całkowitego w funkcji SquashFS ReadBlock na 32-bitowych wersjach.
Wielokrotne podatności typu Cross-Site Scripting (XSS) w damasac thaipalliative_lte do wersji 3.0 umożliwiają zdalnym atakującym wstrzykiwanie dowolnych skryptów webowych lub HTML poprzez parametry idFormMain, id oraz ptid_key w pliku /substudy/ezform.php.
Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.
W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano lukę, która wpływa na funkcję session_start w pliku /login-form.php. Manipulacja argumentem UserAuthData może prowadzić do ataku typu session fixation, który może być przeprowadzony zdalnie.
W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie danych studentów poprzez manipulację argumentem Student-Data-CSV w pliku upload_student_data.php. Atak można przeprowadzić zdalnie.
Wersje Ericsson Packet Core Controller (PCC) przed 1.39 zawierają podatność, która pozwala atakującemu na wysłanie dużej liczby specjalnie przygotowanych wiadomości, co może prowadzić do degradacji usług.
HelloTalk w wersji 3.4.1 przechowuje pełne współrzędne GPS, nawet gdy użytkownik zamierzał udostępnić jedynie kraj lub miasto. Współrzędne te są umieszczane w bazie danych na urządzeniach innych użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na refleksyjny atak typu cross-site scripting w zaawansowanych parametrach wyszukiwania, które nieprawidłowo sanitizują dane wejściowe użytkownika przed ich wyświetleniem w formularzach wyszukiwania. Atakujący mogą wstrzykiwać złośliwe skrypty przez niesanitizowane parametry wyszukiwania, co pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane odzwierciedlone ataki typu cross-site scripting w punkcie końcowym server.log. Umożliwia to atakującym wstrzykiwanie dowolnego kodu HTML i JavaScript poprzez parametr wyszukiwania.
W serwerze X.Org X oraz Xwayland wykryto podatność use-after-free w funkcji CreateSaverWindow(). Klient może wywołać odczyt po zwolnieniu pamięci poprzez zmianę atrybutów okna i wymuszenie wygaszacza ekranu, co prowadzi do ujawnienia informacji.
W serwerze X.Org X oraz Xwayland w funkcji __glXDisp_ChangeDrawableAttributes() wykryto błąd odczytu poza zakresem. Nieprawidłowe sprawdzenie rozmiaru może spowodować odczyt kontrolowanej przez klienta liczby bajtów poza buforem żądania, prowadząc do ujawnienia informacji. Istnieje również ścieżka zapisu, ale wymaga ona klientów z odwróconą kolejnością bajtów, co jest domyślnie wyłączone.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, powodując degradację usług.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe przetwarzanie syntaktycznie nieprawidłowej struktury, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.
Podatność typu Server-Side Request Forgery (SSRF) w funkcji tworzenia procesów w linqi pozwala uwierzytelnionemu atakującemu na badanie komponentów wewnętrznej sieci. Atakujący może skonstruować odpowiedni proces z komponentem żądania HTTP, co umożliwia serwerowi wysyłanie dowolnych żądań HTTP.
Podatność na niewłaściwą autoryzację w punkcie końcowym /api/Cdn/GetFile w linqi pozwala nieautoryzowanym, zdalnym atakującym na obejście kontroli dostępu do plików. Funkcja ValidateAnonFileAccess błędnie przyznaje dostęp, gdy podany jest parametr zapytania 'AnonFile' zawierający dokładnie 256 znaków.
Podatność w sterowniku USB Samsung Android dla systemu Windows przed wersją 1.9.5.0 wynika z nieprawidłowej walidacji danych wejściowych. Lokalny atakujący może wykorzystać ten błąd do uzyskania dostępu do pamięci poza dozwolonym zakresem.
Podatność w przeglądarce Samsung Internet przed wersją 30.0.0.39 wynika z nieprawidłowej autoryzacji, co umożliwia lokalnym atakującym dostęp do poufnych informacji.
Nieprawidłowa kontrola dostępu w usłudze AuditLogService przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.

