Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-32175
Średnie

Występuje podatność na manipulację, gdy .NET Core niewłaściwie obsługuje specjalnie przygotowane pliki. Atakujący, który skutecznie wykorzysta tę podatność, może zapisywać dowolne pliki i katalogi w określonych lokalizacjach na podatnym systemie.

CVE-2026-32170
Średnie

Podatność CVE-2026-32170 dotyczy podwójnego zwolnienia pamięci w edytorze Rich Text w systemie Windows, co pozwala autoryzowanemu atakującemu na lokalne podniesienie uprawnień.

CVE-2025-53680
Średnie

Podatność typu OS Command Injection w Fortinet FortiAP pozwala uwierzytelnionemu atakującemu z uprawnieniami na wykonanie nieautoryzowanego kodu lub komend poprzez spreparowane żądania CLI.

CVE-2026-8391
Średnie

W silniku JavaScript przeglądarki Firefox i klienta poczty Thunderbird wykryto nieokreśloną podatność. Luka została załatana w wersjach Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 oraz Thunderbird 140.11.

CVE-2026-8388
Średnie

Podatność w silniku JavaScript: komponencie JIT przeglądarki Firefox i klienta poczty Thunderbird wynika z nieprawidłowych warunków brzegowych. Luka została załatana w wersjach Firefox 150.0.3, Firefox ESR 115.36, Firefox ESR 140.11 oraz Thunderbird 140.11.

CVE-2026-42006
Średnie

Podatność w obsłudze IMAP pozwala atakującemu na niekontrolowane użycie pamięci poprzez nadmierne użycie nawiasów klamrowych. Poprawka dla CVE-2026-27857 była niekompletna, blokując tylko jeden sposób ataku, pozostawiając otwartą inną ścieżkę. Atakujący może wykorzystać otwierające nawiasy klamrowe, aby obejść limit i doprowadzić do wzrostu użycia pamięci aż do skonfigurowanego limitu.

CVE-2026-41125
Średnie

Zidentyfikowano podatność w różnych wersjach urządzeń blueplanet, która umożliwia atakującemu z odpowiednimi uprawnieniami wykorzystanie luk w zabezpieczeniach związanych z niewłaściwą neutralizacją specjalnych elementów w poleceniu SQL. Atak ten może prowadzić do podniesienia uprawnień w lokalnej sieci.

CVE-2025-40948
Średnie

Podatność w urządzeniach RUGGEDCOM ROX pozwala uwierzytelnionemu zdalnemu atakującemu na odczyt dowolnych plików systemu operacyjnego z uprawnieniami roota. Problem wynika z braku walidacji danych wejściowych w interfejsie JSON-RPC serwera WWW.

CVE-2026-1681
Średnie

Podatność w systemie operacyjnym pozwala na przepełnienie stosu poprzez wysłanie pinga ICMP na własny adres IPv4 za pomocą polecenia `net ping`. Powoduje to rekurencyjne przetwarzanie pakietu w stosie sieciowym, co prowadzi do przepełnienia stosu kolejki zadań systemowych.

CVE-2026-40135
Średnie

W systemie SAP NetWeaver Application Server dla ABAP oraz platformy ABAP występuje podatność na wstrzykiwanie poleceń systemowych, która pozwala uwierzytelnionemu atakującemu z dostępem administracyjnym na wykonanie specjalnie przygotowanych poleceń powłoki na serwerze, omijając mechanizm logowania.

CVE-2026-27682
Średnie

W wyniku podatności na odzwierciedlone ataki XSS w SAP NetWeaver Application Server ABAP, nieautoryzowany atakujący może stworzyć URL, który wykorzystuje niechroniony parametr URL do osadzenia złośliwego skryptu. Kliknięcie w taki link przez ofiarę prowadzi do wykonania złośliwej treści w kontekście przeglądarki ofiary.

CVE-2026-28946
Średnie

W przeglądarce Safari oraz systemie macOS Tahoe wykryto podatność typu use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Problem został naprawiony w wersjach Safari 26.5 i macOS Tahoe 26.5. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego awarii Safari.

CVE-2026-28942
Średnie

W przeglądarce Safari wykryto podatność use-after-free, która została naprawiona poprzez ulepszone zarządzanie pamięcią. Problem został rozwiązany w aktualizacjach Safari 26.5, iOS 26.5, iPadOS 26.5, macOS Tahoe 26.5, tvOS 26.5, visionOS 26.5 oraz watchOS 26.5. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego awarii Safari.

CVE-2026-28903
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania specjalnie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.

CVE-2026-28902
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.

CVE-2026-28901
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.

CVE-2026-4891
ŚrednieEPSS 92%

Podatność przepełnienia bufora sterty podczas odczytu w walidacji DNSSEC w dnsmasq umożliwia zdalnemu atakującemu wywołanie odmowy usługi poprzez spreparowany pakiet DNS.

CVE-2026-36906
Średnie

W systemie IoTGateway w wersji 3.0.1 wykryto podatność na atak XSS (Cross-Site Scripting) w funkcji rejestrowania zdarzeń (Log Record Function). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-6815
Średnie

W Casdoorze występuje podatność na zapis dowolnych plików w dostawcy lokalnego systemu plików. Z powodu niewystarczającej sanitizacji ścieżek, uwierzytelniony atakujący z uprawnieniami administratora może przeprowadzić atak typu Path Traversal, aby tworzyć lub nadpisywać dowolne pliki w systemie plików hosta.

CVE-2026-1677
Średnie

W Zephyr gniazda utworzone z `IPPROTO_TLS_1_3` mogą negocjować połączenie TLS 1.2, gdy obie wersje TLS są włączone w Kconfig, ponieważ wybór protokołu na poziomie gniazda nie jest propagowany do mbedTLS. Aplikacje zakładające, że `IPPROTO_TLS_1_3` wymusza TLS 1.3, mogą w rezultacie używać TLS 1.2 i być narażone na specyficzne dla tej wersji słabości.

PoprzedniaStrona 230 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS