Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2021-4479
Średnie

Wersje 1.00 do 1.01 urządzenia Dräger Atlan A350 zawierają podatność na niewłaściwe przetwarzanie danych wejściowych, co pozwala atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przesyłać źle sformatowane dane, co prowadzi do przeciążenia procesora wewnętrznego urządzenia.

CVE-2019-25724
Średnie

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.

CVE-2019-25723
Średnie

Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.

CVE-2019-25721
Średnie

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.

CVE-2026-49943
Średnie

W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.

CVE-2026-42073
Średnie

OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.

CVE-2026-40713
Średnie

Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

CVE-2026-40571
Średnie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.

CVE-2026-40314
Średnie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności zablokowanych/profilów prywatnych. Wersja 2.2.5 naprawia ten problem.

CVE-2026-35447
Średnie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 strona profilu (modules/Core/pages/profile.php) przetwarza zgłoszenia postów na ścianie i odpowiedzi przed weryfikacją, czy użytkownik ma uprawnienia do dostępu do profilu, co pozwala na publikowanie postów na prywatnych profilach przez użytkowników z uprawnieniem profile.post.

CVE-2026-35443
Średnie

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.

CVE-2026-33244
Średnie

React Router w wersjach od 7.5.1 do 7.13.1 ma lukę, która pozwala na Cross-Site Scripting (XSS) w statycznie generowanych plikach HTML, gdy używany jest tryb Framework z włączonym pre-renderingiem i nieodpowiednio zneutralizowaną wartością nagłówka HTTP `Location`. Problem ten nie dotyczy aplikacji korzystających z trybu Deklaratywnego lub trybu Danych.

CVE-2026-1871
Średnie

TP-Link Tapo C200 v5 zawiera lukę typu przepełnienie bufora na stosie w obsłudze uwierzytelniania RTSP, spowodowaną niewłaściwą walidacją długości pól nagłówka Authorization. Można ją wywołać za pomocą spreparowanego żądania uwierzytelniającego.

CVE-2026-9590
Średnie

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w komponencie walidacji uprawnień, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edytowania wpisów na modyfikację informacji o zasobach bez wymaganych uprawnień.

CVE-2026-9522
Średnie

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w funkcji odkrywania kont PAM, co pozwala uwierzytelnionemu użytkownikowi bez uprawnień administracyjnych na usunięcie konfiguracji skanowania odkrywania sieci.

CVE-2026-7299
Średnie

Funkcjonalność autouzupełniania edytora zapytań SQL w Appsmith nie sanitizuje nazw obiektów bazy danych przed ich renderowaniem w innerHTML. Umożliwia to uwierzytelnionemu deweloperowi wstrzyknięcie trwałego XSS za pomocą złośliwych nazw tabel lub kolumn, co prowadzi do wykonania dowolnego kodu w sesjach innych członków workspace'u, gdy wchodzą w interakcję z tym samym źródłem danych.

CVE-2026-49753
Średnie

Podatność CVE-2026-49753 dotyczy niekonsekwentnej interpretacji żądań HTTP w elixir-mint, co pozwala atakującym na desynchronizację ramki odpowiedzi na współdzielonych połączeniach. Parser Content-Length w Mint akceptuje wartości z prefiksem + lub -, co jest niezgodne z RFC 7230.

CVE-2026-45684
Średnie

OpenTelemetry eBPF Instrumentation w wersjach od 0.7.0 do przed 0.9.0 ma problem z niewłaściwym przetwarzaniem buforów writev przez log enricher OBI, który odczytuje tylko pierwszy wpis iovec, ale używa całkowitej długości iov_iter.count jako długości kopiowania. W przypadku włączonego wstrzykiwania logów, złośliwe wywołanie writev może spowodować odczyt i nadpisanie pamięci poza pierwszym segmentem.

CVE-2026-45682
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał problem z CappedConcurrentHashMap, który nie usuwał kluczy z kolejki przy wstawianiu, gdy wpisy były usuwane. W długoterminowych uruchomieniach JVM może to prowadzić do nieograniczonego wzrostu kolejki i wyczerpania pamięci sterty.

CVE-2026-45681
Średnie

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 używa 256-bajtowego bufora zapasowego, ale zachowuje oryginalny rozmiar ładunku, który może wynosić do 8KB. W przypadku niezgodności CPU, OBI może odczytać dane poza buforem zapasowym, co prowadzi do wycieku pamięci sąsiedniej do telemetrii.

PoprzedniaStrona 187 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS