Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-36906
Średnie

W systemie IoTGateway w wersji 3.0.1 wykryto podatność na atak XSS (Cross-Site Scripting) w funkcji rejestrowania zdarzeń (Log Record Function). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-6815
Średnie

W Casdoorze występuje podatność na zapis dowolnych plików w dostawcy lokalnego systemu plików. Z powodu niewystarczającej sanitizacji ścieżek, uwierzytelniony atakujący z uprawnieniami administratora może przeprowadzić atak typu Path Traversal, aby tworzyć lub nadpisywać dowolne pliki w systemie plików hosta.

CVE-2026-1677
Średnie

W Zephyr gniazda utworzone z `IPPROTO_TLS_1_3` mogą negocjować połączenie TLS 1.2, gdy obie wersje TLS są włączone w Kconfig, ponieważ wybór protokołu na poziomie gniazda nie jest propagowany do mbedTLS. Aplikacje zakładające, że `IPPROTO_TLS_1_3` wymusza TLS 1.3, mogą w rezultacie używać TLS 1.2 i być narażone na specyficzne dla tej wersji słabości.

CVE-2022-50957
Średnie

Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.

CVE-2026-42258
ŚrednieEPSS 53%

Podatność w bibliotece Net::IMAP dla języka Ruby umożliwia wstrzyknięcie poleceń IMAP poprzez argumenty symboliczne przekazywane do komend. Problem został załatany w wersjach 0.4.24, 0.5.14 i 0.6.4.

CVE-2026-45130
Średnie

W edytorze tekstu Vim przed wersją 9.2.0450 występuje przepełnienie bufora na stercie w funkcji read_compound() podczas ładowania spreparowanego pliku z poprawkami (.spl) z aktywnym kodowaniem UTF-8. Złośliwy plik może wykorzystać pole długości kontrolowane przez atakującego, co prowadzi do przepełnienia bufora.

CVE-2026-41511
Średnie

OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.

CVE-2026-43421
Średnie

W jądrze systemu Linux naprawiono podatność związaną z cyklem życia urządzenia sieciowego, które przetrwało odłączenie od urządzenia gadżetu, co prowadziło do problemów z wskaźnikami w sysfs oraz dereferencją wskaźnika null.

CVE-2026-43355
Średnie

W jądrze Linux wykryto podatność w sterowniku czujnika światła bh1780, która powoduje wyciek licznika referencyjnego zarządzania energią (PM runtime) na ścieżce błędu. Problem polega na tym, że funkcja pm_runtime_put_autosuspend() nie jest wywoływana, gdy operacja odczytu zakończy się niepowodzeniem, co prowadzi do nieprawidłowego stanu zarządzania energią.

CVE-2026-41308
Średnie

Aplikacja Password Pusher, służąca do komunikacji wrażliwych informacji w sieci, miała problem z bezpieczeństwem, który pozwalał na nieautoryzowane tworzenie przesyłek plikowych przez ogólny interfejs API JSON w określonych konfiguracjach. Problem ten został naprawiony w wersjach 1.69.3 i 2.4.2.

CVE-2026-43331
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z funkcją load_segments(), która unieważnia bazę GS, na której opiera się KCOV. W przypadku włączonej opcji CONFIG_KCOV, wywołania kodu C mogą prowadzić do awarii jądra w nieskończonej pętli.

CVE-2026-43319
Średnie

W jądrze Linuxa naprawiono podatność związaną z inwersją blokady między mutexami spi_lock i buf_lock w sterowniku spidev. Problem ten mógł prowadzić do zakleszczeń z powodu różnego porządku nabywania blokad w różnych ścieżkach kodu.

CVE-2026-43311
Średnie

W jądrze systemu Linux zidentyfikowano podatność związaną z wywołaniem funkcji generic_handle_irq() w kontekście nieprzerwanego. Problem ten występuje podczas wznawiania systemu z trybu uśpienia na platformach Tegra, co prowadzi do ostrzeżenia w logach.

CVE-2026-8112
Średnie

Wykryto podatność w 8421bit MiniClaw, dotycząca funkcji executeCognitivePulse w pliku src/kernel.ts. Manipulacja tą funkcją prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-41692
Średnie

i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).

CVE-2026-41691
Średnie

i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.

CVE-2026-43510
Średnie

manage.get.gov to rejestrator TLD .gov zarządzany przez CISA, który pozwala administratorowi organizacji przypisywać uprawnienia zarządzania domeną dla domen, które nie są już przypisane do innej organizacji.

CVE-2026-36388
Średnie

W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.

CVE-2026-36387
Średnie

W systemie CODEASTRO Membership Management System v1.0 wykryto podatność zdalnego wykonania kodu (RCE) w pliku /add_members.php. Luka wynika z nieprawidłowej sanityzacji przesyłanych plików, co umożliwia atakującemu wstrzyknięcie złośliwych plików i zdalne wykonanie kodu.

CVE-2026-8080
Średnie

W MISP przed wersją 2.5.37 występuje podatność na przechowywane XSS z powodu niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. Atakujący może wprowadzić złośliwe wartości w polach typu i kategorii atrybutów elementów szablonu.

PoprzedniaStrona 241 z 557Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS