Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia atakującemu niekontrolowane zarządzanie dynamicznie ładowanym kodem. Udane wykorzystanie może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia atakującemu przeprowadzenie fałszowania żądań po stronie serwera (SSRF). Udane wykorzystanie tej luki może prowadzić do ujawnienia poufnych informacji.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Podatność w bibliotece FatFs w wersji R0.16 i wcześniejszych dotyczy obsługi długich nazw plików (LFN). Funkcja kopiuje nazwę pliku (do 255 znaków) do krótkich buforów bez sprawdzania rozmiaru, co prowadzi do przepełnienia bufora.
W bibliotece FatFs w wersji R0.16 i wcześniejszych występuje przepełnienie bufora stosu w funkcji f_getlabel(). Błąd wynika z zaufania długości etykiety exFAT (XDIR_NumLabel) bez wymuszania maksymalnych wartości specyfikacji.
W FatFS R0.16 i wcześniejszych wersjach występuje błąd przepełnienia liczby całkowitej w funkcji mount_volume(), gdzie operacja fasize *= fs->n_fats może spowodować zawinięcie, prowadząc do kontrolowanych przez atakującego metadanych rozmiaru pliku i niebezpiecznych długości odczytu w wywołujących funkcjach.
Podatność w systemie uwierzytelniania @acastellon/auth dla mikrousług pozwala nieuwierzytelnionemu atakującemu ominąć walidację tokena poprzez spreparowane nagłówki HTTP auth-user i Host. Problem występuje w funkcji validateToken() przed wersją 2.3.0.
Podatność w urządzeniach Poly Voice IP (CCX, Trio, Edge E) może spowodować ich unieruchomienie po połączeniu z złośliwym serwerem SIP i odebraniu nieprawidłowo sformatowanych danych. HP udostępnia aktualizacje łagodzące to ryzyko.
W systemie pretix wykryto łańcuch podatności: wtyczki płatności (Stripe, Mollie, OPPWA, BitPay, Payone, SecuConnect, Sofort, Saferpay) nie walidują parametrów sesji poza podpisem kryptograficznym, funkcja przekierowań używa tego samego klucza i soli do podpisu, co wtyczki, a funkcja przejmowania sesji przez admina pozwala na zmianę użytkownika po wstrzyknięciu dowolnych parametrów. Atakujący z dostępem do co najmniej jednego wydarzenia może stać się dowolnym użytkownikiem backendu i uzyskać dostęp do wszystkich danych.
W modelu Usergroup w Foreman brakuje prawidłowej walidacji przypisań ról względem uprawnień wywołującego użytkownika. Umożliwia to uwierzytelnionemu użytkownikowi z uprawnieniami do zarządzania grupami użytkowników dołączenie dowolnych ról, w tym administracyjnych, do grupy, a następnie dodanie siebie jako członka.
Podatność polegająca na wyścigu (Race Condition) w oprogramowaniu BIOVIA Workbook w wersjach od 2021 do 2026 umożliwia użytkownikowi dostęp do nieautoryzowanych danych innego użytkownika.
Podatność w MCO pozwala uwierzytelnionemu użytkownikowi na modyfikację członkostwa w grupach bez odpowiedniej autoryzacji, co umożliwia eskalację uprawnień. Atakujący może dodać się do dowolnej grupy, podając prawidłowy identyfikator grupy, który może uzyskać z innych funkcji aplikacji lub odgadnąć metodą brute-force.
Podatność w @fastify/middie w wersjach 9.1.0 do 9.3.2 powoduje awarię procesu Node.js przy przetwarzaniu nieprawidłowo zakodowanych sekwencji procentowych w ścieżkach żądań. Błąd występuje tylko przy użyciu samodzielnego silnika API (middie.run), a nie wtyczki Fastify.
Wtyczka LatePoint dla WordPressa do wersji 5.6.3 zawiera podatność na eskalację uprawnień do administratora. Wynika ona z niebezpiecznego bezpośredniego odwołania do obiektu (IDOR) w funkcji create_or_update() oraz braku weryfikacji roli w OsAuthHelper::authorize_customer(). Uwierzytelniony atakujący z poziomem dostępu Agenta może podmienić adres e-mail dowolnego klienta, w tym powiązanego z kontem administratora, a następnie zalogować się na to konto.
Wtyczka NEX-Forms dla WordPressa do wersji 9.2.2 włącznie jest podatna na przechowywany atak Cross-Site Scripting (XSS) poprzez parametr tablicy '_name[]'. Brak odpowiedniej sanitizacji wejścia i eskapowania wyjścia umożliwia nieuwierzytelnionym atakującym wstrzyknięcie dowolnych skryptów, które wykonują się przy dostępie do zainfekowanej strony.
W urządzeniach SkyBridge MB-A100/MB-A110 stwierdzono podatność na wstrzykiwanie poleceń systemu operacyjnego. Luka wynika z nieprawidłowej neutralizacji specjalnych elementów w poleceniach OS.

