Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-5066
Średnie

W podsystemie gniazd sieciowych Zephyr RTOS (subsys/net/lib/sockets/sockets_tls.c) wykryto podatność na zapis/odczyt poza dozwolonym obszarem pamięci. Gdy pamięć podręczna sesji TLS jest włączona, funkcje tls_session_store() i tls_session_restore() kopiują adres dostarczony przez wywołującego do bufora o stałym rozmiarze, używając wartości addrlen kontrolowanej przez wywołującego, bez walidacji względem rozmiaru docelowego. Może to prowadzić do awarii, odmowy usługi, a potencjalnie do wykonania dowolnego kodu.

CVE-2026-42538
Średnie

IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 nieprawidłowo walidują przesyłane pliki, co może prowadzić do wykorzystania aplikacji do hostowania stron phishingowych oraz wprowadza dodatkową podatność typu Cross-Site Scripting (XSS). Wersja 2.4.28 zawiera poprawkę.

CVE-2026-42329
Średnie

Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zawierają lukę, która pozwala atakującemu na przekierowanie użytkownika na złośliwą stronę internetową.

CVE-2026-5589
Średnie

W funkcji bt_mesh_sol_recv() w stosie Bluetooth Mesh Zephyr występuje podatność na niedomiar liczby całkowitej, prowadząca do zapisu poza dozwolonym obszarem pamięci. Atakujący z pobliskiego urządzenia BLE może wysłać spreparowany pakiet reklamowy, który wykorzystując tę lukę, może spowodować awarię systemu lub potencjalnie wykonać dowolny kod.

CVE-2026-21404
Średnie

NAVTOR NavBox w wersjach do 4.16.1.20 zawiera twardo zakodowane dane uwierzytelniające w swojej implementacji Windows Communication Foundation (SOAP). W przypadku włączonej funkcjonalności SOAP, lokalny atakujący może wydobyć te dane, omijając zamierzony proces transferu.

CVE-2026-48480
Średnie

Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.

CVE-2026-40898
Średnie

quic-go to implementacja protokołu QUIC w języku Go. Przed wersją 0.59.1, atakujący mógł spowodować nadmierne przydzielanie pamięci w implementacjach klienta i serwera HTTP/3, wysyłając zakodowaną w QPACK ramkę HEADERS, która dekoduje się do dużej sekcji trailer field z wieloma unikalnymi nazwami pól i/lub dużymi wartościami.

CVE-2026-36499
Średnie

Brak górnego limitu w funkcji udpif_set_threads() w Open vSwitch v3.6.90 umożliwia atakującemu z dostępem do zapisu OVSDB żądanie nadmiernej liczby wątków obsługi lub rewalidacji. Może to prowadzić do odmowy usługi (DoS) z powodu wyczerpania zasobów.

CVE-2025-65640
Średnie

W aplikacji Arket Globe Document Intelligence 5.0.0.559 występuje podatność typu Cross Site Scripting (XSS) na stronie 'Zadanie w toku / Ostatnie'. Problem wynika z niewłaściwego oczyszczania danych wejściowych w polach tekstowych podczas tworzenia nowego dokumentu, co pozwala na wykonanie złośliwego kodu JavaScript.

CVE-2026-41207
Średnie

Kodowanie bhttp w inkubatorze netty to parser binarny HTTP w języku Java. W wersjach przed 0.0.21.Final funkcja HKDF_expand zwracała wartość różną od NULL w przypadku błędu, co skutkowało wypełnieniem tablicy bajtów zerami, uniemożliwiając odróżnienie sukcesu od porażki.

CVE-2026-49940
Średnie

Wersje Net::CIDR::Set do 0.20 dla Perla akceptują nie-ASCII adresy IP oraz maski sieciowe. Cyfry Unicode, takie jak arabsko-indyjska jedynka (U+0661), były akceptowane, ale nieprawidłowo analizowane jako liczby, co może pozwolić na akceptację większych sieci przez maski sieciowe.

CVE-2026-46739
Średnie

Wersje Net::Statsd przed 0.13 dla Perla umożliwiają wstrzykiwanie metryk. Nazwy metryk nie są sprawdzane pod kątem nowych linii, dwukropków ani pionowych kresek, co pozwala na wstrzykiwanie dodatkowych metryk z niezaufanych źródeł.

CVE-2026-7774
Średnie

Podatność w module tarfile umożliwia ominięcie filtra danych przez spreparowane wpisy dowiązań, w tym dowiązania symboliczne z pustymi lub katalogopodobnymi nazwami, co pozwala na przekierowanie późniejszych członków archiwum poza zamierzony katalog docelowy. Złośliwe archiwum tar może spowodować, że funkcja tarfile.extractall() zapisze pliki poza katalogiem docelowym, z uprawnieniami procesu wypakowującego.

CVE-2026-45287
Średnie

OpenTelemetry-Go przed wersją 0.0.17 ma problem z wyciekiem deskryptora pliku przy każdym wywołaniu `ParseFile`, co może prowadzić do wyczerpania limitu deskryptorów plików w długoterminowym procesie.

CVE-2026-41178
Średnie

OpenTelemetry-Go w wersjach 1.41.0 i 1.43.0 usunął odrzucanie długości surowej, co powoduje, że funkcja `Parse` przetwarza dowolnie duże lub nieprawidłowe nagłówki bagażu i rejestruje błędy, co umożliwia atak DoS za pomocą zbyt dużych danych wejściowych.

CVE-2026-40930
Średnie

LIBPNG to biblioteka referencyjna używana w aplikacjach przetwarzających pliki graficzne PNG. W wersji 1.8.0 występuje problem w parserze APNG, który pozwala na reinterpretację bajtów kontrolowanych przez atakującego jako nagłówek nowego fragmentu, co może prowadzić do nieautoryzowanego dostępu do danych.

CVE-2026-10815
Średnie

W systemie zarządzania hostelami LakshayD02 do wersji f87e67c283bab6f718faf2fec6ae39a13bd7036b zidentyfikowano podatność w pliku hostel/index.php na stronie panelu administracyjnego. Manipulacja argumentem ID prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10814
Średnie

Wykryto podatność w milvus-io milvus do wersji 2.6.13, która dotyczy nieznanego kodu w pliku internal/metastore/kv/rootcoord/kv_catalog.go komponentu Grantee ID Hash Handler. Manipulacja prowadzi do użycia słabego hasha.

CVE-2026-47707
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma problem w wersjach od 0.172.0 do 0.315.6. Rozszerzenie MaxAliasesLimiter nie uwzględnia efektu mnożnikowego w przypadku FragmentSpreadNode, co pozwala atakującemu na obejście limitów aliasów.

CVE-2026-47706
Średnie

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma podatność w wersjach od 0.71.0 do 0.315.6 w rozszerzeniu QueryDepthLimiter. Brak detekcji cykli w fragmentach powoduje, że zapytania z cyklicznymi odniesieniami fragmentów prowadzą do nieskończonej rekurencji, co skutkuje błędem RecursionError i awarią procesu walidacji.

PoprzedniaStrona 179 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS