Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK wykryto podatność polegającą na niewystarczającym sprawdzaniu wartości zwracanych przez funkcje. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które dostarczą specjalnie przygotowaną odpowiedź na APDU, prowadząc do pracy z niezainicjalizowanymi zmiennymi.
W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK wykryto podatność polegającą na niewystarczającej kontroli bufora odpowiedzi APDU i jego długości podczas komunikacji z kartą. Atakujący może wykorzystać spreparowane urządzenie USB lub kartę inteligentną, które dostarczą specjalnie spreparowaną odpowiedź na APDU.
W OpenSC, narzędziach OpenSC, module PKCS#11, minidriver i CTK brakuje inicjalizacji zmiennych, które powinny być inicjalizowane przed użyciem jako argumenty innych funkcji. Może to prowadzić do nieprzewidywalnego zachowania lub potencjalnych problemów bezpieczeństwa.
W bibliotece LIEF w wersji 0.14.1 wykryto problem umożliwiający lokalnemu atakującemu uzyskanie wrażliwych informacji poprzez parametr 'name' w komponencie machd_reader.c.
W bibliotece ThreeTen Backport w wersji 1.6.8 odkryto wyjątek NullPointerException w metodzie compareTo klasy LocalDate. Należy jednak zaznaczyć, że wiele stron trzecich kwestionuje zasadność tego zgłoszenia, sugerując, że może ono wynikać z użycia niewystarczająco solidnego narzędzia do identyfikacji podatności.
W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze 'user_id' po zalogowaniu. Umożliwia ona zdalnemu atakującemu wykonanie dowolnych zapytań do bazy danych.
W Gila CMS 1.15.4 i wcześniejszych wykryto podatność na wstrzykiwanie SQL w parametrze ID po zalogowaniu, umożliwiającą zdalnemu atakującemu wykonanie dowolnych skryptów SQL.
W CMS Gila w wersji 1.15.4 i wcześniejszych odkryto podatność na wstrzykiwanie SQL. Umożliwia ona zdalnemu atakującemu wykonanie dowolnych skryptów poprzez parametr Area w zakładce Administracja>Widgety po zalogowaniu.
Vim przed wersją 9.0.2121 zawiera podatność typu heap-use-after-free, która może wystąpić podczas pierwszego wykonania polecenia `:s` z użyciem atomu sub-replace-special. Może to prowadzić do niebezpiecznego dostępu do pamięci oraz potencjalnego awarii edytora Vim.
Vim to otwarty edytor tekstu w trybie wiersza poleceń. W dotkniętych wersjach, podczas przesuwania linii w trybie oczekiwania na operatora i używając bardzo dużej wartości, może dojść do przepełnienia rozmiaru liczby całkowitej.
Vim to otwartoźródłowy edytor tekstu działający w trybie wiersza poleceń. Używając polecenia z=, użytkownik może przekroczyć limit liczby, co może prowadzić do awarii, chociaż nie zawsze się to zdarza.
Vim to otwarty edytor tekstu w wierszu poleceń, który może powodować przepełnienie podczas analizowania względnych adresów ex. Problem występuje w istniejącej kontroli przepełnienia, gdy numer linii staje się ujemny. Wpływ jest niski, wymagana jest interakcja użytkownika.
Vim to otwarty edytor tekstu w trybie wiersza poleceń. Podczas uzyskiwania liczby dla polecenia 'z' w trybie normalnym, może wystąpić przepełnienie dla dużych wartości, co może prowadzić do awarii, chociaż nie zawsze się to zdarza.
Vim to otwarty edytor tekstu w trybie tekstowym. Jeśli liczba po poleceniu :s jest większa niż to, co mieści się w zmiennej typu long, program kończy działanie z błędem e_value_too_large. Problem został rozwiązany w wersji 9.0.2108.
Vim to otwartoźródłowy edytor tekstu w trybie tekstowym. Występuje wyjątek punktu zmiennoprzecinkowego podczas obliczania przesunięcia linii dla zbyt długich linii, gdy włączone jest płynne przewijanie i ustawienia cpo zawierają flagę 'n'. Problem ten prowadzi do awarii aplikacji.
Vim to otwartoźródłowy edytor tekstu działający w trybie wiersza poleceń. Podczas zamykania okna, vim może próbować uzyskać dostęp do już zwolnionej struktury okna.
W wersjach sudo-rs przed 0.2.1 odkryto problem, w którym nazwy użytkowników zawierające znaki '.' i '/' mogą prowadzić do uszkodzenia określonych plików w systemie plików. Użytkownik z taką nazwą może usunąć plik binarny, co skutkuje jego usunięciem z systemu.
W systemie Dreamer CMS do wersji 4.1.3 zidentyfikowano podatność, która umożliwia zdalny dostęp do plików lub katalogów poprzez manipulację w pliku /upload/ueditorConfig?action=config. Klasyfikowana jest jako problematyczna z wysoką złożonością ataku.
W systemie TOTVS RM 12.1 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem VIEWSTATE w pliku Login.aspx. Atak można przeprowadzić zdalnie, jednak jego złożoność jest wysoka.
W standardowym monitorze maszyn wirtualnych (VMM) zidentyfikowano problem w domyślnych implementacjach funkcji traitu `VolatileMemory`, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem. Problem dotyczy użytkowników niestandardowych implementacji `VolatileMemory`, które nie przestrzegają dokumentacji funkcji `get_slice`.

