Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-8673
Średnie

Podatność w oprogramowaniu syslink AG Avantra na systemach Linux i Windows polega na braku ochrony transportu poświadczeń, co umożliwia ataki sniffingowe. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-8672
Średnie

Wykryto podatność na użycie domyślnego hasła w oprogramowaniu syslink AG Avantra na systemach Linux i Windows, co umożliwia próby logowania przy użyciu powszechnych lub domyślnych nazw użytkowników i haseł. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-5072
Średnie

W podsystemie PTP w Zephyrze wykryto podatność polegającą na przesunięciu bitowym bez walidacji. Zdalny atakujący może wysłać spreparowaną wiadomość PTP_MSG_MANAGEMENT, ustawiając ujemną wartość log_announce_interval, co prowadzi do niezdefiniowanego zachowania podczas przetwarzania kolejnej wiadomości PTP_MSG_ANNOUNCE. Może to skutkować awarią systemu lub błędami logicznymi.

CVE-2026-44409
Średnie

W ZTE MU5250 występuje podatność na ujawnienie informacji spowodowana niewłaściwą konfiguracją mechanizmu kontroli dostępu. Atakujący mogą uzyskać dostęp do informacji bez autoryzacji.

CVE-2026-4929
Średnie

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

CVE-2026-4093
Średnie

W module Term Reference Tree dla Drupal 7 istnieją dwa wektory XSS, które są przechowywane w procesie renderowania widgetu/formatera. Atakujący może wstrzykiwać złośliwy kod HTML/JS poprzez nieprawidłowo sanitizowane dane w szablonach tokenów oraz etykietach terminów taksonomii.

CVE-2026-6841
Średnie

Request Tracker jest podatny na odzwierciedloną podatność typu cross-site scripting (XSS) poprzez parametr 'Page' w żądaniach GET. Atakujący może stworzyć URL, który po otwarciu powoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-43496
Średnie

W jądrze Linuxa wykryto podatność w dyscyplinie kolejkowania RED (Random Early Detection). Gdy RED ma podrzędną dyscyplinę (np. QFQ), która używa funkcji peek() zwracającej już pobrany pakiet (qdisc_peek_dequeued()), wywołanie dequeue() na RED może prowadzić do dereferencji pustego wskaźnika i paniki jądra. Problem rozwiązano poprzez zastąpienie bezpośredniego wywołania dequeue() metodą qdisc_dequeue_peeked(), która poprawnie obsługuje pakiety z kolejki gso_skb.

CVE-2026-0393
Średnie

Podatny produkt może ujawniać dane uwierzytelniające zdalnie pomiędzy użytkownikami o niskich uprawnieniach podczas równoczesnych operacji logowania z powodu niewystarczającej izolacji danych uwierzytelniających. Podatność dotyczy jedynie operacji logowania w aktywnej sesji wizualizacji.

CVE-2026-2734
Średnie

W wersjach mlflow/mlflow do 3.9.0, punkt końcowy REST API `SearchModelVersions` oraz zapytanie GraphQL `mlflowSearchModelVersions` nie mają odpowiednich kontroli autoryzacji dla poszczególnych modeli, gdy włączona jest podstawowa autoryzacja. To pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich wersji modeli we wszystkich zarejestrowanych modelach, niezależnie od poziomu uprawnień.

CVE-2026-9149
Średnie

W bibliotece libsolv odkryto podatność polegającą na przepełnieniu bufora sterty. Problem występuje podczas przetwarzania specjalnie spreparowanego pliku `.solv` zawierającego ujemne wartości rozmiaru w funkcji `repo_add_solv`, co prowadzi do zbyt małej alokacji pamięci i zapisu poza jej granicami.

CVE-2026-9150
Średnie

W bibliotece libsolv wykryto podatność na przepełnienie bufora stosu podczas przetwarzania specjalnie spreparowanych metadanych repozytorium Debiana. Atakujący może wykorzystać złośliwe znaczniki sum kontrolnych SHA384 lub SHA512, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).

CVE-2026-9136
Średnie

Zidentyfikowano podatność w procesie tworzenia propozycji ShadowAttribute, która pozwalała na aktualizację istniejących rekordów zamiast tworzenia nowych. Użytkownik mógł przesłać identyfikator istniejącego ShadowAttribute, co prowadziło do nieautoryzowanej modyfikacji.

CVE-2026-9124
Średnie

Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 148.0.7778.179 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9122
Średnie

W Google Chrome na Mac przed wersją 148.0.7778.179 wystąpił błąd odczytu poza zakresem w GPU, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-9087
Średnie

W Keycloak znaleziono lukę, w której dowód weryfikacji między sesjami jest kluczowany wyłącznie przez (lokalny identyfikator użytkownika, alias dostawcy tożsamości) i nie jest powiązany z faktycznie zweryfikowanym kontem nadrzędnym. Umożliwia to drugiemu kontu nadrzędnemu na tym samym dostawcy tożsamości wykorzystanie tego dowodu i powiązanie go z lokalnym kontem ofiary.

CVE-2026-20199
Średnie

Podatność w obsłudze certyfikatów SSL w Cisco ThousandEyes Virtual Appliance umożliwia uwierzytelnionemu zdalnemu atakującemu wykonanie kodu na systemie operacyjnym jako root. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.

CVE-2026-4293
Średnie

Kontrolery budynków Kieback & Peter DDC są podatne na ataki typu cross-site scripting, co umożliwia wykonanie JavaScriptu w przeglądarce ofiary, dając atakującemu kontrolę nad przeglądarką.

CVE-2026-44390
Średnie

Unbound do wersji 1.25.0 włącznie ma podatność na atak DoS przez odpowiedzi DNS z bardzo dużymi zestawami rekordów (RRsets), które nie mają wspólnego sufiksu powyżej roota. Próba kompresji nazw dla takich odpowiedzi może zablokować CPU, prowadząc do degradacji wydajności i odmowy usługi.

CVE-2026-42534
Średnie

Podatność w Unbound do wersji 1.25.0 włącznie dotyczy logiki zastępowania wolnych zapytań (jostle). Retransmisje tego samego zapytania aktualizują jego znacznik czasu, przez co logika nie traktuje go jako starego i nie zastępuje nowymi zapytaniami. Atakujący może wykorzystać to do degradacji wydajności rozwiązywania nazw.

PoprzedniaStrona 223 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS