Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 miało problem z wydajnością, gdzie OBI odtwarzało trafienia probe BPF w obserwacjach histogramu, co prowadziło do nadmiernego obciążenia CPU na zajętych systemach. Problem ten został naprawiony w wersji 0.9.0.
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 eksportuje surowe komunikaty o błędach Redis jako wiadomości statusu span. Może to prowadzić do wycieku tokenów, danych osobowych lub innych poufnych informacji do systemów telemetrycznych.
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser ELF, który ufał wskaźnikom sekcji oraz przesunięciom w plikach wykonywalnych. Złośliwie skonstruowany lokalny plik ELF mógł spowodować dereferencję nieprawidłowych wskaźników sekcji, co prowadziło do paniki agenta podczas określania języka procesu.
NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.
Klaw to narzędzie do zarządzania i nadzorowania tematów Apache Kafka. W wersjach przed 2.10.4 występował problem z niewłaściwą kontrolą dostępu, który umożliwiał ujawnienie hasha hasła. Problem ten został naprawiony w wersji 2.10.4.
W wersji 4.1.1 oprogramowania Transmission zidentyfikowano podatność typu clickjacking w interfejsie WebUI oraz w ścieżkach odpowiedzi RPC. Atakujący może wykorzystać tę lukę do oszukania użytkowników i zmuszenia ich do wykonania niezamierzonych działań.
Podatność polegająca na przechodzeniu do dowolnych ścieżek w punkcie końcowym /admin/downloadMedias.cgi w oprogramowaniu sprzętowym FD8136-VVTK firmy VIVOTEK INC (wersja 0300a) umożliwia uwierzytelnionym atakującym odczyt dowolnego pliku na urządzeniu poprzez wysłanie spreparowanego żądania.
W oprogramowaniu sprzętowym VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku binarnym motion_privacy.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący zdalny może wysłać żądanie POST z nadmiernie długim parametrem n1 do jednego z trzech punktów końcowych, co prowadzi do wykonania dowolnego kodu z uprawnieniami roota.
NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.
Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.
Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.
Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.
Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.
W oprogramowaniu VIVOTEK FD8136 (wersja FD8136-VVTK-0300a) w pliku export_language.cgi występuje przepełnienie bufora stosu. Uwierzytelniony atakujący może wysłać spreparowane żądanie POST do endpointu /cgi-bin/admin/export_language.cgi, przekazując kontrolowaną wartość Content-Length do funkcji fread(), co prowadzi do nadpisania rejestru powrotu i wykonania dowolnego kodu z uprawnieniami roota.
Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.
W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.
Podatność CVE-2026-28116 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji Emilia Projects Progress Planner, co pozwala na ataki typu Stored XSS. Problem ten dotyczy wersji Progress Planner od n/a do 1.9.0.
W systemie Crew HRM występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.2.2.
Podatność w monitorach pacjenta Dräger Infinity Delta, Delta XL i Kappa umożliwia nieuwierzytelnionym atakującym dostęp do plików dziennika przez sieć. Atakujący mogą uzyskać informacje o wewnętrznej konfiguracji urządzenia, lokalizacji oraz szczegóły konfiguracji sieci przewodowej.
Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.

