Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Użytkownik ERPNext z uprawnieniami do edycji rekordów przedmiotów może wprowadzać dowolny kod HTML/JavaScript w polach item_name, description lub image. To prowadzi do niebezpiecznego renderowania w interfejsie koszyka w Punkcie Sprzedaży (POS) dla każdego operatora, który doda ten przedmiot do transakcji.
Wersje Koha do 25.11 zawierają podatność typu Server-Side Request Forgery (SSRF) w konfiguracji serwera Z39.50/SRU. Umożliwia to uwierzytelnionym atakującym skanowanie wewnętrznej sieci oraz identyfikację działających usług poprzez analizę czasów odpowiedzi serwera.
Podatność typu Cross Site Scripting w Koha 25.11 i wcześniejszych wersjach umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików w funkcjach fakturowania.
W jądrze systemu Linux zidentyfikowano podatność związana z warunkiem wyścigu między trybem sysfs a trybem perf. Problem ten występuje podczas jednoczesnego uruchamiania obu trybów, co prowadzi do wyzwolenia ostrzeżenia w funkcji tmc_etr_enable_hw().
W jądrze Linuxa zidentyfikowano podatność, która prowadzi do dereferencji wskaźnika NULL podczas analizy drzewa urządzeń w sterowniku pinctrl k230. Problem ten występuje, gdy próbujemy uzyskać wskaźnik urządzenia przed jego zainicjowaniem.
W jądrze Linuxa naprawiono podatność związaną z funkcją p2pmem_alloc_mmap(), która niepoprawnie sprawdzała licznik referencji strony. Zmiana wprowadza poprawne warunki asercji, eliminując nieprawidłowe ostrzeżenia.
W jądrze Linuxa zidentyfikowano podatność związaną z brakiem odpowiedniego zarządzania blokadami w funkcji fsl_xcvr_mode_put(). W wyniku tego, próba uzyskania blokady odczytu podczas trzymania blokady zapisu w tym samym wątku prowadzi do zakleszczenia.
W jądrze Linuxa naprawiono podatność, która mogła prowadzić do dereferencji wskaźnika NULL w funkcji wpcm_fiu_probe(). Problem występował, gdy platform_get_resource_byname() zwracał NULL, co mogło powodować awarię systemu.
W jądrze Linuxa zidentyfikowano podatność, która może prowadzić do dereferencji wskaźnika NULL w funkcji linehandle_create(). Problem ten został rozwiązany poprzez użycie wartości handlereq.lines zamiast dereferencji wskaźnika.
W jądrze Linuxa naprawiono podatność, która prowadziła do błędu Oops podczas wywoływania read_current_timer na platformach ARM32, gdzie SP804 nie był zarejestrowany jako sched_clock.
W jądrze Linuxa rozwiązano podatność związaną z LOCALIO w NFS, która mogła prowadzić do zakleszczenia rekurencyjnego podczas bezpośredniego odzyskiwania pamięci. Problem ten występował, gdy LOCALIO przechodziło do XFS, a następnie z powrotem do NFS przez nfs_writepages.
W jądrze Linuxa zidentyfikowano podatność związaną z nieprawidłowym wyłączaniem zegarów w funkcji .remove() sterownika fsl-edma. Zegary są alokowane i włączane automatycznie, jednak ich ręczne wyłączanie powoduje ostrzeżenia podczas usuwania sterownika.
W jądrze systemu Linux zidentyfikowano podatność w AppArmor, która pozwala na obsługę niewyrównanych tabel dfa. Tabele te mogą pochodzić z przestrzeni jądra lub użytkownika, co może prowadzić do nieprawidłowych dostępu do pamięci na różnych architekturach.
W jądrze Linuxa w sterowniku regulatora napięcia wykryto problem z blokowaniem w ścieżce błędu funkcji regulator_resolve_supply(). Gdy późne włączenie regulatora zasilania nie powiedzie się, kod wywołuje _regulator_put() bez trzymania mutexu regulator_list_mutex, co powoduje ostrzeżenie lockdep. Poprawka polega na użyciu regulator_put() oraz dodaniu odpowiedniego blokowania, aby zapobiec równoczesnemu dostępowi do rdev podczas czyszczenia wskaźnika zasilania.
W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do awarii sterownika PF podczas uruchamiania systemu za pomocą kexec. Problem wynika z tego, że stan AF z poprzedniego jądra może być zachowany w nowym, co prowadzi do błędnego założenia gotowości AF przez sterownik PF.
W jądrze systemu Linux zidentyfikowano podatność w module wifi ath12k, która dotyczy nieprawidłowego zarządzania mapowaniem linków w przypadku nieudanej inicjalizacji arvif w trybie STA. W wyniku tego, stara mapa linków może prowadzić do ostrzeżenia w logach systemowych, gdy nowy arvif jest inicjalizowany z tym samym identyfikatorem linku.
W jądrze Linuxa zidentyfikowano podatność związaną z błędnym określaniem częstotliwości zegara GFX3D, co prowadzi do awarii systemu. Problem wynika z nieprawidłowego mapowania rodzica w żądaniu, co zostało naprawione poprzez ustawienie odpowiedniego pola w strukturze parent_req.
W jądrze Linuxa naprawiono podatność związaną z obsługą NULL w funkcji inicjalizującej HPD w amdgpu_dm. Problem polegał na tym, że funkcja amdgpu_dm_hpd_init() mogła napotkać złącza bez ważnego wskaźnika dc_link, co prowadziło do niebezpiecznego dereferencjonowania tego wskaźnika.
W interfejsie webowym Kimi AI v1.0 występuje podatność typu Cross Site Scripting w funkcji 'Podgląd'. Aplikacja nieprawidłowo sanitizuje lub koduje ładunki HTML/JavaScript generowane przez model AI, co pozwala na wykonanie złośliwego kodu w sesji przeglądarki ofiary.
Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 odpowiada na zapytania CHAOS TXT dotyczące version.bind, ujawniając wersję oprogramowania resolvera DNS (unbound 1.22.0). To może wspierać ataki ukierunkowane na znane podatności.

