Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2022-50957
Średnie

Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.

CVE-2026-45130
Średnie

W edytorze tekstu Vim przed wersją 9.2.0450 występuje przepełnienie bufora na stercie w funkcji read_compound() podczas ładowania spreparowanego pliku z poprawkami (.spl) z aktywnym kodowaniem UTF-8. Złośliwy plik może wykorzystać pole długości kontrolowane przez atakującego, co prowadzi do przepełnienia bufora.

CVE-2026-41511
Średnie

OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.

CVE-2026-43421
Średnie

W jądrze systemu Linux naprawiono podatność związaną z cyklem życia urządzenia sieciowego, które przetrwało odłączenie od urządzenia gadżetu, co prowadziło do problemów z wskaźnikami w sysfs oraz dereferencją wskaźnika null.

CVE-2026-43355
Średnie

W jądrze Linux wykryto podatność w sterowniku czujnika światła bh1780, która powoduje wyciek licznika referencyjnego zarządzania energią (PM runtime) na ścieżce błędu. Problem polega na tym, że funkcja pm_runtime_put_autosuspend() nie jest wywoływana, gdy operacja odczytu zakończy się niepowodzeniem, co prowadzi do nieprawidłowego stanu zarządzania energią.

CVE-2026-41308
Średnie

Aplikacja Password Pusher, służąca do komunikacji wrażliwych informacji w sieci, miała problem z bezpieczeństwem, który pozwalał na nieautoryzowane tworzenie przesyłek plikowych przez ogólny interfejs API JSON w określonych konfiguracjach. Problem ten został naprawiony w wersjach 1.69.3 i 2.4.2.

CVE-2026-43331
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z funkcją load_segments(), która unieważnia bazę GS, na której opiera się KCOV. W przypadku włączonej opcji CONFIG_KCOV, wywołania kodu C mogą prowadzić do awarii jądra w nieskończonej pętli.

CVE-2026-43319
Średnie

W jądrze Linuxa naprawiono podatność związaną z inwersją blokady między mutexami spi_lock i buf_lock w sterowniku spidev. Problem ten mógł prowadzić do zakleszczeń z powodu różnego porządku nabywania blokad w różnych ścieżkach kodu.

CVE-2026-43311
Średnie

W jądrze systemu Linux zidentyfikowano podatność związaną z wywołaniem funkcji generic_handle_irq() w kontekście nieprzerwanego. Problem ten występuje podczas wznawiania systemu z trybu uśpienia na platformach Tegra, co prowadzi do ostrzeżenia w logach.

CVE-2026-8112
Średnie

Wykryto podatność w 8421bit MiniClaw, dotycząca funkcji executeCognitivePulse w pliku src/kernel.ts. Manipulacja tą funkcją prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-41692
Średnie

i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).

CVE-2026-41691
Średnie

i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.

CVE-2026-43510
Średnie

manage.get.gov to rejestrator TLD .gov zarządzany przez CISA, który pozwala administratorowi organizacji przypisywać uprawnienia zarządzania domeną dla domen, które nie są już przypisane do innej organizacji.

CVE-2026-36388
Średnie

W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.

CVE-2026-36387
Średnie

W systemie CODEASTRO Membership Management System v1.0 wykryto podatność zdalnego wykonania kodu (RCE) w pliku /add_members.php. Luka wynika z nieprawidłowej sanityzacji przesyłanych plików, co umożliwia atakującemu wstrzyknięcie złośliwych plików i zdalne wykonanie kodu.

CVE-2026-8080
Średnie

W MISP przed wersją 2.5.37 występuje podatność na przechowywane XSS z powodu niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. Atakujący może wprowadzić złośliwe wartości w polach typu i kategorii atrybutów elementów szablonu.

CVE-2026-20195
Średnie

Podatność w punkcie końcowym API zarządzania tożsamością w Cisco ISE umożliwia nieuwierzytelnionemu, zdalnemu atakującemu enumerację prawidłowych kont użytkowników na urządzeniu. Błąd wynika z różnic w komunikatach błędów zwracanych przez API.

CVE-2026-20193
Średnie

Podatność w interfejsach API polityki RADIUS w Cisco ISE umożliwia uwierzytelnionemu, zdalnemu atakującemu z uprawnieniami administratora tylko do odczytu uzyskanie nieautoryzowanego dostępu do wrażliwych informacji. Problem wynika z nieprawidłowych uprawnień kontroli dostępu opartej na rolach (RBAC) w tych interfejsach API.

CVE-2026-20189
Średnie

Podatność w funkcji pobierania plików logów w Cisco Prime Infrastructure umożliwia uwierzytelnionemu, zdalnemu atakującemu pobranie dowolnych plików logów z serwera. Problem wynika z niewystarczających kontroli autoryzacji w API usługi pobierania.

CVE-2026-20169
Średnie

Podatność w interfejsie zarządzania opartym na sieci Web w Cisco IoT Field Network Director umożliwia uwierzytelnionemu atakującemu z niskimi uprawnieniami dostęp do plików i wykonywanie poleceń na zdalnym routerze. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.

PoprzedniaStrona 231 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS