Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Występuje podatność na manipulację, gdy .NET Core niewłaściwie obsługuje specjalnie przygotowane pliki. Atakujący, który skutecznie wykorzysta tę podatność, może zapisywać dowolne pliki i katalogi w określonych lokalizacjach na podatnym systemie.
Podatność CVE-2026-32170 dotyczy podwójnego zwolnienia pamięci w edytorze Rich Text w systemie Windows, co pozwala autoryzowanemu atakującemu na lokalne podniesienie uprawnień.
Podatność typu OS Command Injection w Fortinet FortiAP pozwala uwierzytelnionemu atakującemu z uprawnieniami na wykonanie nieautoryzowanego kodu lub komend poprzez spreparowane żądania CLI.
W silniku JavaScript przeglądarki Firefox i klienta poczty Thunderbird wykryto nieokreśloną podatność. Luka została załatana w wersjach Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 oraz Thunderbird 140.11.
Podatność w silniku JavaScript: komponencie JIT przeglądarki Firefox i klienta poczty Thunderbird wynika z nieprawidłowych warunków brzegowych. Luka została załatana w wersjach Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 oraz Thunderbird 140.11.
Podatność w obsłudze IMAP pozwala atakującemu na niekontrolowane użycie pamięci poprzez nadmierne użycie nawiasów klamrowych. Poprawka dla CVE-2026-27857 była niekompletna, blokując tylko jeden sposób ataku, pozostawiając otwartą inną ścieżkę. Atakujący może wykorzystać otwierające nawiasy klamrowe, aby obejść limit i doprowadzić do wzrostu użycia pamięci aż do skonfigurowanego limitu.
Zidentyfikowano podatność w różnych wersjach urządzeń blueplanet, która umożliwia atakującemu z odpowiednimi uprawnieniami wykorzystanie luk w zabezpieczeniach związanych z niewłaściwą neutralizacją specjalnych elementów w poleceniu SQL. Atak ten może prowadzić do podniesienia uprawnień w lokalnej sieci.
Podatność w urządzeniach RUGGEDCOM ROX pozwala uwierzytelnionemu zdalnemu atakującemu na odczyt dowolnych plików systemu operacyjnego z uprawnieniami roota. Problem wynika z braku walidacji danych wejściowych w interfejsie JSON-RPC serwera WWW.
Podatność w systemie operacyjnym pozwala na przepełnienie stosu poprzez wysłanie pinga ICMP na własny adres IPv4 za pomocą polecenia `net ping`. Powoduje to rekurencyjne przetwarzanie pakietu w stosie sieciowym, co prowadzi do przepełnienia stosu kolejki zadań systemowych.
W systemie SAP NetWeaver Application Server dla ABAP oraz platformy ABAP występuje podatność na wstrzykiwanie poleceń systemowych, która pozwala uwierzytelnionemu atakującemu z dostępem administracyjnym na wykonanie specjalnie przygotowanych poleceń powłoki na serwerze, omijając mechanizm logowania.
W wyniku podatności na odzwierciedlone ataki XSS w SAP NetWeaver Application Server ABAP, nieautoryzowany atakujący może stworzyć URL, który wykorzystuje niechroniony parametr URL do osadzenia złośliwego skryptu. Kliknięcie w taki link przez ofiarę prowadzi do wykonania złośliwej treści w kontekście przeglądarki ofiary.
W przeglądarce Safari oraz systemie macOS Tahoe wykryto podatność typu use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Problem został naprawiony w wersjach Safari 26.5 i macOS Tahoe 26.5. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego awarii Safari.
W przeglądarce Safari wykryto podatność use-after-free, która została naprawiona poprzez ulepszone zarządzanie pamięcią. Problem został rozwiązany w aktualizacjach Safari 26.5, iOS 26.5, iPadOS 26.5, macOS Tahoe 26.5, tvOS 26.5, visionOS 26.5 oraz watchOS 26.5. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego awarii Safari.
Podatność w WebKit umożliwia awarię procesu podczas przetwarzania specjalnie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.
Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.
Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.
Podatność przepełnienia bufora sterty podczas odczytu w walidacji DNSSEC w dnsmasq umożliwia zdalnemu atakującemu wywołanie odmowy usługi poprzez spreparowany pakiet DNS.
W systemie IoTGateway w wersji 3.0.1 wykryto podatność na atak XSS (Cross-Site Scripting) w funkcji rejestrowania zdarzeń (Log Record Function). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
W Casdoorze występuje podatność na zapis dowolnych plików w dostawcy lokalnego systemu plików. Z powodu niewystarczającej sanitizacji ścieżek, uwierzytelniony atakujący z uprawnieniami administratora może przeprowadzić atak typu Path Traversal, aby tworzyć lub nadpisywać dowolne pliki w systemie plików hosta.
W Zephyr gniazda utworzone z `IPPROTO_TLS_1_3` mogą negocjować połączenie TLS 1.2, gdy obie wersje TLS są włączone w Kconfig, ponieważ wybór protokołu na poziomie gniazda nie jest propagowany do mbedTLS. Aplikacje zakładające, że `IPPROTO_TLS_1_3` wymusza TLS 1.3, mogą w rezultacie używać TLS 1.2 i być narażone na specyficzne dla tej wersji słabości.

