Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.
W edytorze tekstu Vim przed wersją 9.2.0450 występuje przepełnienie bufora na stercie w funkcji read_compound() podczas ładowania spreparowanego pliku z poprawkami (.spl) z aktywnym kodowaniem UTF-8. Złośliwy plik może wykorzystać pole długości kontrolowane przez atakującego, co prowadzi do przepełnienia bufora.
OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.
W jądrze systemu Linux naprawiono podatność związaną z cyklem życia urządzenia sieciowego, które przetrwało odłączenie od urządzenia gadżetu, co prowadziło do problemów z wskaźnikami w sysfs oraz dereferencją wskaźnika null.
W jądrze Linux wykryto podatność w sterowniku czujnika światła bh1780, która powoduje wyciek licznika referencyjnego zarządzania energią (PM runtime) na ścieżce błędu. Problem polega na tym, że funkcja pm_runtime_put_autosuspend() nie jest wywoływana, gdy operacja odczytu zakończy się niepowodzeniem, co prowadzi do nieprawidłowego stanu zarządzania energią.
Aplikacja Password Pusher, służąca do komunikacji wrażliwych informacji w sieci, miała problem z bezpieczeństwem, który pozwalał na nieautoryzowane tworzenie przesyłek plikowych przez ogólny interfejs API JSON w określonych konfiguracjach. Problem ten został naprawiony w wersjach 1.69.3 i 2.4.2.
W jądrze Linuxa zidentyfikowano podatność związaną z funkcją load_segments(), która unieważnia bazę GS, na której opiera się KCOV. W przypadku włączonej opcji CONFIG_KCOV, wywołania kodu C mogą prowadzić do awarii jądra w nieskończonej pętli.
W jądrze Linuxa naprawiono podatność związaną z inwersją blokady między mutexami spi_lock i buf_lock w sterowniku spidev. Problem ten mógł prowadzić do zakleszczeń z powodu różnego porządku nabywania blokad w różnych ścieżkach kodu.
W jądrze systemu Linux zidentyfikowano podatność związaną z wywołaniem funkcji generic_handle_irq() w kontekście nieprzerwanego. Problem ten występuje podczas wznawiania systemu z trybu uśpienia na platformach Tegra, co prowadzi do ostrzeżenia w logach.
Wykryto podatność w 8421bit MiniClaw, dotycząca funkcji executeCognitivePulse w pliku src/kernel.ts. Manipulacja tą funkcją prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.
manage.get.gov to rejestrator TLD .gov zarządzany przez CISA, który pozwala administratorowi organizacji przypisywać uprawnienia zarządzania domeną dla domen, które nie są już przypisane do innej organizacji.
W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.
W systemie CODEASTRO Membership Management System v1.0 wykryto podatność zdalnego wykonania kodu (RCE) w pliku /add_members.php. Luka wynika z nieprawidłowej sanityzacji przesyłanych plików, co umożliwia atakującemu wstrzyknięcie złośliwych plików i zdalne wykonanie kodu.
W MISP przed wersją 2.5.37 występuje podatność na przechowywane XSS z powodu niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. Atakujący może wprowadzić złośliwe wartości w polach typu i kategorii atrybutów elementów szablonu.
Podatność w punkcie końcowym API zarządzania tożsamością w Cisco ISE umożliwia nieuwierzytelnionemu, zdalnemu atakującemu enumerację prawidłowych kont użytkowników na urządzeniu. Błąd wynika z różnic w komunikatach błędów zwracanych przez API.
Podatność w interfejsach API polityki RADIUS w Cisco ISE umożliwia uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami administratora tylko do odczytu uzyskanie nieautoryzowanego dostępu do wrażliwych informacji. Problem wynika z nieprawidłowych uprawnień kontroli dostępu opartej na rolach (RBAC) w tych interfejsach API.
Podatność w funkcji pobierania plików logów w Cisco Prime Infrastructure umożliwia uwierzytelnionemu, zdalnemu atakującemu pobranie dowolnych plików logów z serwera. Problem wynika z niewystarczających kontroli autoryzacji w API usługi pobierania.
Podatność w interfejsie zarządzania opartym na sieci Web w Cisco IoT Field Network Director umożliwia uwierzytelnionemu atakującemu z niskimi uprawnieniami dostęp do plików i wykonywanie poleceń na zdalnym routerze. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.

