Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W jądrze Linux wykryto podatność w podsystemie netfilter, gdzie funkcje takie jak `ip6t_eui64`, `xt_mac` oraz typy zestawów ipset (`bitmap:ip,mac`, `hash:ip,mac`, `hash:mac`) i `nf_log_syslog` uzyskiwały dostęp do nagłówka Ethernet (`eth_hdr(skb)`) bez uprzedniego sprawdzenia, czy ramka jest powiązana z urządzeniem Ethernet, czy nagłówek MAC został ustawiony i czy ma odpowiednią długość. Brak tych walidacji mógł prowadzić do błędów lub potencjalnego naruszenia bezpieczeństwa.
Podatność w bibliotece cjson w Apache Kvrocks powodująca przepełnienie HEAP w Lua. Dotyczy wersji od 2.0.4 do 2.15.0.
W podatności w Apache Kvrocks, która dotyczy wersji od 2.2.0 do 2.15.0, zaleca się aktualizację do wersji 2.16.0, aby naprawić problem.
Podatność typu Relative Path Traversal w Apache Kvrocks umożliwia atakującemu dostęp do plików poza zamierzonym katalogiem. Problem dotyczy wersji od 1.0.0 do 2.15.0.
W podatności CVE-2026-41566 występuje niewłaściwe zarządzanie niewystarczającymi uprawnieniami w Apache Kvrocks w wersji 2.8.0. Problem ten został naprawiony w wersji 2.16.0.
Ogólny sterownik dostępu do IO i pamięci dla komputerów PC dostarczony przez TOSHIBA CORPORATION i Dynabook Inc. ujawnia swoje IOCTL z niewystarczającą kontrolą dostępu. Zalogowany użytkownik bez uprawnień administracyjnych może uzyskać dostęp do pamięci fizycznej.
Wtyczka Tourfic – AI Powered Travel Booking, Hotel Booking & Car Rental dla WordPress jest podatna na ogólną iniekcję SQL poprzez parametr 'post_id' we wszystkich wersjach do 2.22.7 włącznie, z powodu niewystarczającego zabezpieczenia parametru dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL.
Wtyczka InPost PL dla WordPressa przed wersją 1.9.1 nie weryfikuje, czy żądanie pochodzi od uprawnionego nabywcy, co pozwala nieautoryzowanym atakującym na ciche przekierowanie miejsca dostawy zamówienia WooCommerce.
Wtyczka Email Address Encoder dla WordPressa przed wersją 1.0.25 oraz wtyczka email-encoder-premium przed wersją 0.3.12 nieprawidłowo obsługują zamianę adresów e-mail, co może umożliwić nieautoryzowanym użytkownikom przeprowadzenie ataków typu Stored XSS.
Podatność w systemie DNS pozwala na ominięcie wymogu uwierzytelnienia certyfikatem klienta podczas transferu strefy (XFR) z użyciem opcji provide-xfr z parametrem tls-auth-name. Gdy żądanie przychodzi przez TLS na standardowym porcie TLS (a nie na porcie tls-auth) lub przez zwykłe TCP na standardowym porcie, serwer nie wymaga certyfikatu klienta, nawet jeśli reguła provide-xfr go przewiduje.
W NSD w wersji 4.14.0 wprowadzono błąd, w którym specjalnie spreparowany rekord APL RR z długością adresu (adflength) większą niż dozwolona dla danej rodziny adresów nadpisuje stos podczas zapisywania strefy na dysk, maksymalnie 111 bajtami kontrolowanymi przez atakującego.
W NSD od wersji 4.13.0 wykryto błąd use-after-free w stercie podczas logowania błędów na połączeniach TLS. Podatność powoduje awarię procesu serwera, którą można łatwo wywołać, wysyłając zapytanie DNS przez połączenie DoT i zamykając połączenie bez odczytania odpowiedzi.
Podatność w NSD umożliwia atakującemu, który jest serwerem nadrzędnym dla strefy, doprowadzenie do przepełnienia sterty poprzez wysłanie odpowiedzi AXFR zawierającej specjalnie spreparowany rekord SVCB o rozmiarze danych 65512 bajtów. Powoduje to zawinięcie zmiennej typu uint16_t używanej do alokacji pamięci, co prowadzi do zapisu poza przydzielonym buforem.
Wtyczka Masteriyo LMS dla WordPressa w wersjach przed 2.2.1 nie przeprowadza kontroli autoryzacji w kontrolerze API REST dotyczącego postępu kursu, co pozwala nieautoryzowanym użytkownikom na odczyt i trwałe usunięcie zapisów postępu kursu dowolnego użytkownika.
Podatność w GitLab CE/EE umożliwiała zapisywanie wrażliwych informacji do logów aplikacji z powodu niewystarczającego filtrowania w punkcie końcowym API CI/CD. Problem dotyczy wszystkich wersji od 9.3 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab CE/EE wykryto podatność polegającą na nieprawidłowej weryfikacji autoryzacji, która w określonych warunkach umożliwia uwierzytelnionemu użytkownikowi z rolą dewelopera ominięcie reguł ochrony pakietów i nadpisanie chronionych metadanych pakietu Maven.
W GitLab CE/EE wykryto podatność w funkcji pakietów grupowych, która umożliwia uwierzytelnionemu użytkownikowi z uprawnieniami Reportera w grupie przeglądanie metadanych pakietów z projektów, w których wyłączono rejestr pakietów. Problem wynika z nieprawidłowej weryfikacji autoryzacji i dotyczy wersji od 13.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi nieautoryzowany odczyt lub modyfikację ustawień zasad czyszczenia rejestru wirtualnego innej grupy. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab EE wykryto podatność, która w określonych warunkach umożliwiała uwierzytelnionemu użytkownikowi z ograniczonymi uprawnieniami dostęp do informacji o projekcie z powodu niewystarczających kontroli autoryzacji. Problem dotyczy wszystkich wersji od 18.6 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.
W GitLab CE/EE wykryto podatność, która w określonych warunkach umożliwiała nieuwierzytelnionemu użytkownikowi przeglądanie poufnych odnośników do zgłoszeń (issue references) w publicznych projektach. Problem wynika z nieprawidłowych kontroli autoryzacji i dotyczy wersji od 17.5 do 18.11.6, 19.0 do 19.0.3 oraz 19.1 do 19.1.1.

