Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
W OpenStack Ironic w wersjach do 35.x przed a3f6d73, podczas obsługi obrazów, może wystąpić nieskończona pętla w obliczeniach sum kontrolnych za pomocą adresu URL file:///dev/zero.
Podatność w funkcji ftpcp() w module ftplib.py języka Python. Funkcja ta nie została zaktualizowana podczas naprawy CVE-2021-4189, co pozwala atakującemu na kontrolowanie adresu IP i portu przekazywanego do target.sendport().
W MISP, przed wersją 2.5.37, występowała podatność na wstrzykiwanie SQL w obsłudze parametrów sortowania kontrolowanych przez użytkownika w punktach końcowych listowania zdarzeń i atrybutów. Atakujący mógł wykorzystać złośliwy parametr sortowania do manipulacji generowanym zapytaniem SQL.
MISP to otwartoźródłowa platforma do inteligencji zagrożeń i ich udostępniania. W wersjach przed 2.5.37, MISP Collections nie wymuszał walidacji UUID zgodnie z RFC 4122, co pozwalało na wprowadzenie niepoprawnych wartości UUID przez użytkowników, co mogło prowadzić do problemów z integralnością danych.
CubeCart to rozwiązanie oprogramowania e-commerce. Przed wersją 6.7.0 występuje podatność na Reflected XSS w funkcji wyszukiwania, która pozwala na odzwierciedlenie nieautoryzowanego wejścia użytkownika bez sanitizacji, gdy wyszukiwanie zwraca dokładnie jeden produkt.
Lokalnie serwisowana strona internetowa na urządzeniu Garmin WDU (w wersjach 1.4.6 i 5.0) umożliwia atak typu reflected cross site scripting (XSS). Atakujący w lokalnej sieci może wykonać dowolny kod JavaScript w kontekście strony WDU, co może prowadzić do pełnego dostępu administracyjnego do urządzenia.
Po odwołaniu dostępu użytkownika do mintowania tokenów dla konta serwisowego, w niektórych przypadkach nadal możliwe jest to przez kilka sekund. Użytkownik ostatecznie straci dostęp do tej funkcji.
Podatność w SQL Expressions umożliwia uwierzytelnionemu atakującemu odczyt dowolnych plików z systemu plików serwera Grafana. Dotyczy to tylko instancji z włączoną funkcją sqlExpressions.
Wykorzystanie makra $__timeGroup może prowadzić do przepełnienia pamięci (OOM) poprzez przeciążenie serwera. Wymaga to źródła danych SQL, a jeśli serwer jest skonfigurowany do automatycznego ponownego uruchamiania, wpływ ataku jest minimalny lub nieistniejący.
Podatność w wtyczce Grafana umożliwia nieograniczone przydzielanie pamięci poprzez odczyt całego ciała żądania do pamięci. Użytkownik z odpowiednimi uprawnieniami może wykorzystać tę lukę, aby wywołać stan braku pamięci, co może prowadzić do odmowy usługi.
Każdy edytor mógł usunąć dowolny zrzut, nawet jeśli nie miał dostępu do jego odczytu lub zapisu.
W Grafana Live występuje warunkowa rywalizacja, która pozwala uwierzytelnionym użytkownikom z rolą Viewer na wywołanie awarii serwera poprzez wysyłanie równoczesnych żądań, co prowadzi do krytycznego błędu dostępu do mapy. Skutkuje to całkowitą niedostępnością usługi, wymagającą ponownego uruchomienia serwera Grafana.
Punkt końcowy push w Grafana Live może być wykorzystany do nieograniczonego przydzielania pamięci poprzez wysłanie dużego lub strumieniowego ciała żądania, co może prowadzić do warunków braku pamięci. Użytkownik z autoryzacją mający dostęp do API Grafana Live może wywołać ten problem.
Edytorzy mogli usuwać dowolne adnotacje, nawet te, do których nie mają dostępu do odczytu. Użytkownik edytora nie może tworzyć ani odczytywać adnotacji.
W bibliotece Netty przed wersjami 4.2.13.Final i 4.1.133.Final odkryto podatność w dekoderze MQTT 5. Sekcja właściwości (Properties) w nagłówku MQTT jest parsowana i buforowana przed sprawdzeniem limitu rozmiaru wiadomości, co pozwala atakującemu na wysłanie bardzo dużych właściwości. Powoduje to wielokrotne, kosztowne przetwarzanie i buforowanie danych w pamięci, prowadząc do wysokiego zużycia CPU i RAM.
Podatność w Netty pozwala na przemycanie żądań HTTP (request smuggling) w przypadku wersji HTTP/1.0. Gdy żądanie zawiera zarówno nagłówek Transfer-Encoding: chunked, jak i Content-Length, HttpObjectDecoder nie usuwa sprzecznego nagłówka Content-Length dla HTTP/1.0, co powoduje niezgodność granic wiadomości.
Wiele podatności typu denial of service w oprogramowaniu Palo Alto Networks PAN-OS® umożliwia nieautoryzowanemu atakującemu z dostępem do sieci spowodowanie stanu odmowy usługi (DoS) poprzez wysyłanie specjalnie przygotowanego ruchu sieciowego.
Wielokrotne podatności na wstrzykiwanie poleceń w oprogramowaniu Palo Alto Networks PAN-OS® umożliwiają uwierzytelnionemu administratorowi ominięcie ograniczeń systemowych i uruchamianie dowolnych poleceń jako użytkownik root. W celu wykorzystania tej podatności użytkownik musi mieć dostęp do interfejsu CLI lub Web UI PAN-OS.
W podatności CVE-2026-0258 występuje błąd typu server-side request forgery (SSRF) w implementacji IKEv2 oprogramowania Palo Alto Networks PAN-OS®. Umożliwia on nieautoryzowanemu atakującemu zmuszenie zapory do wysyłania żądań sieciowych do niezamierzonych celów lub spowodowanie stanu odmowy usługi (DoS).
W oprogramowaniu Palo Alto Networks PAN-OS® występuje podatność na przechowywane ataki XSS, która umożliwia złośliwemu, uwierzytelnionemu administratorowi zapisanie ładunku JavaScript za pomocą interfejsu webowego.

