Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-53339
Niskie ryzyko· EPSS 6%

W sterowniku i2c-qcom-cci w jądrze Linux wykryto błąd powodujący dereferencję pustego wskaźnika podczas usuwania sterownika. Problem występuje, gdy kontroler CCI ma dwa magistrale I2C, ale tylko jedna jest zainicjowana – wtedy wywołanie cci_halt() dla nieaktywnej magistrali prowadzi do awarii systemu.

CVE-2026-53338
Niskie ryzyko· EPSS 5%

W jądrze Linux w sterowniku sieciowym airoha brakuje sprawdzenia wartości NULL dla funkcji of_reserved_mem_lookup(). Jeśli węzeł 'memory-region' w drzewie urządzeń (DTS) jest nieprawidłowo skonfigurowany lub usunięty, funkcja zwraca NULL, a jej wynik jest bezpośrednio dereferencjonowany, co prowadzi do wywołania błędu NULL pointer dereference i paniki jądra.

CVE-2026-53337
Niskie ryzyko· EPSS 6%

W jądrze Linux w sterowniku bonding wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji bond_do_ioctl(). Wywołanie slave_dbg() przed sprawdzeniem NULL dla slave_dev prowadzi do paniki jądra przy próbie dodania nieistniejącego interfejsu slave przez ioctl.

CVE-2026-53336
Niskie ryzyko· EPSS 5%

W jądrze Linux wykryto podatność w sterowniku nvmem dla układów ONIE-TLV, która powoduje zawieszenie systemu w nieskończonej pętli podczas napotkania nieznanego typu wpisu (np. 0x41). Problem został rozwiązany poprzez zapewnienie inkrementacji offsetu dla nieznanych typów.

CVE-2026-53335
Niskie ryzyko· EPSS 6%

W jądrze Linux w module DAMON_LRU_SORT wykryto podatność polegającą na braku obsługi błędu alokacji kontekstu damon_ctx. Funkcja damon_lru_sort_enabled_store() zakłada, że alokacja zawsze się powiedzie, co prowadzi do dereferencji wskaźnika NULL, gdy alokacja zawiedzie.

CVE-2026-53334
Niskie ryzyko· EPSS 6%

W jądrze Linux wykryto podatność w mechanizmie DAMON_RECLAIM, gdzie funkcja damon_reclaim_enabled_store() zakłada, że alokacja obiektu damon_ctx zawsze się powiedzie. W przypadku niepowodzenia alokacji dochodzi do dereferencji wskaźnika NULL, co może prowadzić do awarii systemu.

CVE-2026-53333
Niskie ryzyko· EPSS 5%

W jądrze Linux w funkcji mincore_swap() wykryto błąd polegający na tym, że sprawdzenie warunku !CONFIG_SWAP było wykonywane przed obsługą wpisów niebędących swapem (migracja, hwpoison, błędy shmem). Powodowało to fałszywe ostrzeżenia WARN i błędne raportowanie stron jako nieresydentnych na systemach bez CONFIG_SWAP, ale z włączonym CONFIG_MIGRATION lub CONFIG_MEMORY_FAILURE.

CVE-2026-53332
Niskie ryzyko· EPSS 6%

W sterowniku slimbus qcom-ngd-ctrl jądra Linux wykryto podatność polegającą na rejestracji callbacków przed pełną inicjalizacją struktury NGD. Gdy remoteproc uruchamia się równolegle z procesem wykrywania sterownika NGD, callbacki mogą operować na niezainicjalizowanych danych, prowadząc do awarii systemu.

CVE-2026-53331
Niskie ryzyko· EPSS 7%

W sterowniku slimbus dla układów Qualcomm (qcom-ngd-ctrl) wykryto potencjalny zakleszczenie (deadlock) spowodowane odwrotną kolejnością blokowania dwóch zamków: tx_lock i ctrl->lock. Podczas procedury SSR/PDR down, blokada tx_lock jest przechwytywana przed ctrl->lock, podczas gdy w innych ścieżkach kodu kolejność jest odwrotna, co prowadzi do sytuacji ABBA i możliwego zawieszenia systemu.

CVE-2026-53330
Niskie ryzyko· EPSS 6%

W jądrze Linux w sterowniku graficznym AMD/Display wykryto podatność na odczyt poza zakresem w funkcji dp_get_eq_aux_rd_interval(). Tablica aux_rd_interval w strukturze dc_lttpr_caps ma rozmiar 7 elementów, ale parametr offset może przyjąć wartość 8, gdy urządzenie zgłasza 8 repeaterów LTTPR, co prowadzi do odczytu poza przydzieloną pamięcią.

CVE-2026-53329
Niskie ryzyko· EPSS 9%

W jądrze Linux w sterowniku graficznym AMD Display wykryto podatność na przepełnienie sterty. Funkcja dal_vector_reserve() używa arytmetyki 32-bitowej do obliczenia rozmiaru alokacji, co może prowadzić do zawinięcia wartości i przydzielenia zbyt małego bufora.

CVE-2026-53328
Niskie ryzyko· EPSS 6%

W jądrze Linux wykryto ostrzeżenie WARN w funkcji scx_cgroup_move_task() podczas migracji zadań przez scheduler sched_ext. Problem występuje, gdy systemd modyfikuje subtree_control, a pole cgrp_moving_from jest NULL, co jest poprawnym scenariuszem, a nie błędem. Łatka usuwa to ostrzeżenie, zachowując poprawność parowania wywołań ops.cgroup_prep_move() i ops.cgroup_move().

CVE-2026-53327
Niskie ryzyko· EPSS 7%

W jądrze Linux wykryto podatność w mechanizmie debugobjects. Funkcja fill_pool() na jądrach z włączonym RT (Real-Time) wywołuje rtlock_lock(), która sprawdza, czy current::pi_blocked_on jest ustawione. Jeśli tak, dochodzi do asercji, ponieważ zadanie może blokować się tylko na jednym zamku, aby nie uszkodzić łańcucha dziedziczenia priorytetów.

CVE-2026-53326
Niskie ryzyko· EPSS 7%

W jądrze Linux wykryto podatność w mechanizmie debugobjects, która powoduje ostrzeżenie lockdep o niespójności blokad podczas wczesnego rozruchu na systemach z PREEMPT_RT. Problem występuje, gdy przerwania sprzętowe są obsługiwane przed włączeniem planisty, a próba uzupełnienia puli obiektów debugowania w kontekście przerwania może prowadzić do zakleszczenia.

CVE-2026-13603
Krytyczne

Wtyczka pretix-oppwa do systemu pretix niebezpiecznie łączyła parametr resourcePath z URL-em API, co pozwalało atakującemu przekierować żądanie na własny serwer i przechwycić token dostępu do systemu płatności Oppwa. Luka została załatana poprzez ścisłą walidację URL-i API.

CVE-2026-8387
Niskie

Podatność w bibliotece allegroai/clearml w wersjach do 1.16.5 umożliwia względne przechodzenie ścieżek podczas rozpakowywania archiwów .zip metodą ZipFile.extractall() w StorageManager._extract_to_cache(). Brak walidacji ścieżek pozwala atakującemu na zapis dowolnych plików w systemie.

CVE-2026-5120
Wysokie

Podatność polegająca na wyścigu (Race Condition) w oprogramowaniu BIOVIA Workbook w wersjach od 2021 do 2026 umożliwia użytkownikowi dostęp do nieautoryzowanych danych innego użytkownika.

CVE-2026-53909
Średnie

Podatność w MCO polega na braku walidacji typów przesyłanych plików po stronie serwera. Walidacja opiera się wyłącznie na kontroli po stronie klienta, co może zostać ominięte. Uwierzytelniony atakujący z niskimi uprawnieniami może przesłać pliki dowolnego typu na serwer.

CVE-2026-53908
Średnie

Podatność MCO na enumerację użytkowników poprzez funkcje związane z uwierzytelnianiem. Aplikacja zwraca różne odpowiedzi dla prawidłowych i nieprawidłowych użytkowników podczas operacji przypominania nazwy użytkownika i resetowania hasła, co umożliwia atakującemu wyliczenie prawidłowych nazw użytkowników i adresów e-mail.

CVE-2026-53907
Średnie

Podatność Stored Cross‑Site Scripting (XSS) w MCO umożliwia atakującemu przesłanie złośliwego pliku SVG jako logo aplikacji. Kod JavaScript wykonuje się podczas renderowania lub otwierania logo.

PoprzedniaStrona 222 z 4705Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS