Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-44462
Średnie

Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed mógł być obejściowy poprzez łańcuchowanie ekspansji zmiennych bash (${var@P}), co pozwalało na wykonanie dowolnych poleceń pod prefiksem dozwolonych poleceń. Ta podatność została naprawiona w wersji 0.229.0.

CVE-2026-41185
Średnie

Podatność w Calico występuje, gdy jest skonfigurowany z wtyczką Azure IPAM, co prowadzi do modyfikacji konfiguracji CNI i logowania jej w pliku cni.log. Logi te zawierają wrażliwe dane, takie jak tokeny i klucze, w formie niezaszyfrowanej.

CVE-2026-41184
Średnie

W Calico, kontener inicjalizacyjny install-cni loguje skonfigurowany CNI do standardowego wyjścia. Gdy szablon konfiguracji używa miejsca na token __SERVICEACCOUNT_TOKEN__, instalator podstawia aktywny token ServiceAccount, co naraża go na dostęp dla każdego uwierzytelnionego użytkownika z uprawnieniami do podglądania logów w przestrzeni nazw z calico-node.

CVE-2026-48735
Średnie

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.1, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając analizy dużych metadanych XMP z wieloma zbędnymi elementami.

CVE-2026-48525
Średnie

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.

CVE-2026-48523
Średnie

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.

CVE-2026-48522
Średnie

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach przed 2.13.0, PyJWKClient przekazuje argument uri bezpośrednio do urllib.request.urlopen(), co pozwala na niekontrolowane pobieranie zasobów z różnych schematów, co może prowadzić do ataków SSRF oraz fałszowania tokenów.

CVE-2026-48155
Średnie

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając ekstrakcji tekstu w trybie układu z dużymi przesunięciami znaków.

CVE-2026-42250
Średnie

bzip2 zawiera błąd off-by-one w narzędziu bzip2recover. Podczas przetwarzania specjalnie przygotowanego pliku, aplikacja wykonuje zapis poza granicami globalnego bufora, co prowadzi do uszkodzenia pamięci i awarii (denial of service).

CVE-2026-40914
Średnie

W Apache Artemis występuje podatność, która pozwala użytkownikom z uprawnieniami do wysyłania lub odbierania wiadomości na adresie, na modyfikację typu routingu tego adresu, mimo braku uprawnienia do jego tworzenia. Użytkownicy mogą wysyłać lub odbierać wiadomości z nieobsługiwanym typem routingu, co powinno być odrzucane.

CVE-2026-46239
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem liczników odniesień w czasie rzeczywistym w module i2c dla kamery ov5647. Problem dotyczy trzech przypadków kontrolnych, które nie wywołują funkcji pm_runtime_put(), co prowadzi do wycieków liczników odniesień.

CVE-2026-46236
Średnie

W jądrze Linuxa rozwiązano podatność związaną z kontrolerem Xbox Remote, która dotyczyła naruszenia zasad koherencji DMA. Bufor dla IO nie powinien być częścią struktury urządzenia, co mogło prowadzić do problemów z integralnością danych.

CVE-2026-46235
Średnie

W jądrze systemu Linux rozwiązano podatność związaną z brakiem sprawdzania wartości zwracanych przez ioremap w funkcji saa7164_dev_setup(). W przypadku niepowodzenia, zwalniane są już przydzielone obszary pamięci PCI oraz usuwane urządzenie z globalnej listy.

CVE-2026-46233
Średnie

W jądrze Linuxa zidentyfikowano podatność w module batman-adv, która dotyczy funkcji batadv_bla_purge_claims(). Problem polega na tym, że funkcja ta może napotkać roszczenie, które jest w trakcie zwalniania, co prowadzi do dereferencji wskaźnika NULL.

CVE-2026-46231
Średnie

W jądrze Linuxa zidentyfikowano podatność w module batman-adv, która polega na wycieku referencji do obiektu backbone_gw w przypadku niepowodzenia w dodaniu nowego roszczenia do hasha.

CVE-2026-46229
Średnie

W jądrze Linuxa zidentyfikowano podatność, która dotyczy alokacji VRAM w KFD. Brak ustawienia flagi AMDGPU_GEM_CREATE_VRAM_CLEARED powodował, że świeżo przydzielona pamięć VRAM mogła zawierać stare dane, co prowadziło do awarii w transporcie RCCL P2P.

CVE-2026-46228
Średnie

W jądrze Linuxa naprawiono podatność związaną z zarządzaniem czasem życia zasobów urządzeń USB w sterownikach SPI. Problemy z wyciekami pamięci mogły występować, gdy sterowniki były odłączane bez fizycznego odłączenia urządzeń.

CVE-2026-46226
Średnie

W jądrze Linuxa naprawiono podatność związaną z deregistracją kontrolera SPI. Problem polegał na niewłaściwym zwalnianiu zasobów, takich jak DMA, przed deregistracją kontrolera podczas odłączania sterownika.

CVE-2026-46225
Średnie

W jądrze Linuxa naprawiono podatność związaną z deregistracją kontrolera SPI. Problem polegał na tym, że kontroler nie był odpowiednio deregistrowany przed zwolnieniem zasobów, takich jak DMA, podczas odłączania sterownika.

CVE-2026-46224
Średnie

W jądrze Linuxa naprawiono podatność związaną z wyciekiem pamięci w funkcji xe_dma_buf_init_obj() w przypadku niepowodzenia alokacji. W przypadku błędu, wcześniej przydzielona pamięć nie jest zwalniana, co może prowadzić do wycieków pamięci.

PoprzedniaStrona 209 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS