Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność w interfejsie zarządzania opartym na sieci Web w Cisco IoT Field Network Director umożliwia uwierzytelnionemu zdalnemu atakującemu z niskimi uprawnieniami odczyt plików, do których nie ma dostępu. Problem wynika z niewystarczających kontroli dostępu do plików.
HCL BigFix Service Management (SM) nie odpowiednio oczyszcza ani bezpiecznie renderuje plików arkuszy kalkulacyjnych (CSV, XLS, XLSX) przed ich przetworzeniem lub dystrybucją. Atakujący może wypełnić pola danych, które po zapisaniu do pliku CSV mogą próbować wycieku informacji lub innych złośliwych działań po automatycznym uruchomieniu przez oprogramowanie arkusza kalkulacyjnego.
Podatność w HCL BigFix Service Management (SM) polega na niewystarczającej ochronie poświadczeń przez krótki czas podczas komunikacji z wewnętrzną aplikacją backendową. Może to pozwolić atakującemu na przechwycenie i niewłaściwe wykorzystanie tych danych, jeśli zostaną one wykradzione.
W CMS Juzaweb w wersji 5.0.0 wykryto podatność na atak typu Cross Site Scripting (XSS). Zdalny atakujący może wykorzystać funkcję dodawania banerów reklamowych do wstrzyknięcia złośliwego skryptu i wykonania dowolnego kodu w przeglądarce ofiary.
W jądrze systemu Linux zidentyfikowano podatność, która została naprawiona. Problem dotyczy sytuacji, gdy drugi etap jądra jest uruchamiany za pomocą kexec z ograniczonymi parametrami, co może prowadzić do paniki jądra z powodu błędów w zakresie pamięci.
W jądrze Linux wykryto podatność w sterowniku sieciowym cpsw_new, która może prowadzić do próby wyrejestrowania interfejsu sieciowego, który nie został jeszcze zarejestrowany. Problem występuje, gdy podczas rejestracji pierwszego MAC-a wystąpi błąd, a drugi MAC pozostaje niezmieniony, co może skutkować nieprawidłowym wywołaniem unregister_netdev().
W jądrze Linux wykryto podatność w funkcji skb_may_tx_timestamp(), która może prowadzić do zakleszczenia (deadlock) podczas obsługi znaczników czasowych TX w kontekście przerwania sprzętowego. Problem wynika z nieprawidłowego użycia blokady sk_callback_lock, która nie powinna być przejmowana w kontekście IRQ.
W jądrze systemu Linux zidentyfikowano podatność, która dotyczy nieprawidłowego sprawdzania wsparcia dla PTP w funkcji ixp4xx_get_ts_info(). Wywołanie ixp46x_ptp_find() odbywa się bezwarunkowo, co prowadzi do błędu dereferencji wskaźnika NULL i awarii systemu.
W jądrze Linuxa zidentyfikowano podatność, która występuje podczas uruchamiania drugiego etapu jądra za pomocą kexec z ograniczającą linią poleceń. Problem polega na tym, że bufor IMA z poprzedniego jądra może znajdować się poza adresowalną pamięcią RAM, co prowadzi do błędu strony.
W jądrze Linuxa rozwiązano podatność dotyczącą funkcji attr_set_size() w systemie plików NTFS3. W przypadku niepowodzenia tej funkcji podczas skracania plików, błąd jest cicho ignorowany, co może prowadzić do niespójnego stanu inode.
W jądrze Linuxa rozwiązano podatność związaną z zarządzaniem pamięcią w funkcji rtw_set_supported_band(). Uproszczono kod poprzez zastosowanie alokacji pamięci zarządzanej przez urządzenie, co również naprawia wyciek pamięci w funkcji rtw_register_hw().
W Keylime znaleziono lukę, która pozwala atakującemu z dostępem root na monitorowanej maszynie na wykorzystanie podatności w weryfikatorze Keylime. Weryfikator używa zakodowanego wyzwania nonce zamiast losowej wartości kryptograficznej, co umożliwia atakującemu gromadzenie ważnych cytatów TPM i ich odtwarzanie w celu uniknięcia wykrycia.
W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem pamięci w tablicy BO w stanie zawieszenia. Tablica BO była alokowana osobno, ale nigdy nie była zwalniana, co prowadziło do wycieku pamięci.
W jądrze Linuxa zidentyfikowano podatność związana z wyciekiem pamięci w ścieżce błędu stanu zawieszenia w funkcji vc4_save_hang_state(). W przypadku napotkania warunku wczesnego zwrotu, funkcja ta nie zwalnia wcześniej przydzielonego 'kernel_state', co prowadzi do wycieku pamięci.
W jądrze Linuxa rozwiązano podatność związaną z obsługą zdarzeń typu NETDEV_PRE_TYPE_CHANGE w sterowniku lapbether. Funkcja lapbeth_data_transmit() oczekuje, że typ urządzenia bazowego będzie ARPHRD_ETHER, a zwrócenie NOTIFY_BAD z lapbeth_device_event() zapewnia, że sterownik bondingowy nie naruszy tego oczekiwania.
W jądrze systemu Linux zidentyfikowano podatność w module nfc: s3fwrn5, która polega na niewłaściwym zarządzaniu buforami odbiorczymi. Funkcja s3fwrn82_uart_read() może zgłaszać liczbę odebranych bajtów przed przydzieleniem nowego bufora, co prowadzi do potencjalnych błędów.
W jądrze systemu Linux zidentyfikowano podatność w sterowniku ixgbevf, polegającą na braku funkcji negotiate_features w tabeli operacji Hyper-V. To prowadzi do dereferencji wskaźnika NULL w maszynach wirtualnych Hyper-V, co skutkuje błędem jądra.
W jądrze Linuxa zidentyfikowano podatność związana z wyciekiem informacji w funkcji build_mapping(). Struktura xfrm_usersa_id zawiera jedno-bajtową lukę po polu proto, która nie jest zerowana przed skopiowaniem do przestrzeni użytkownika.
W jądrze systemu Linux zidentyfikowano podatność w ścieżkach eksportowych PF_KEY, gdzie ostatnie 4 bajty struktury sockaddr_in6 pozostają niezainicjowane. Problem ten dotyczy tylko niektórych komunikatów PF_KEY, które nie są odpowiednio zerowane przed wypełnieniem danymi.
W jądrze systemu Linux zidentyfikowano podatność, która może prowadzić do awarii systemu. Problem występuje podczas inicjalizacji układu MCP23S08, gdy włączona jest funkcja przerwań na zmianę, co może powodować generowanie przerwań dla pinów bez zarejestrowanego obsługującego je handlera.

