Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W systemie IoTGateway w wersji 3.0.1 wykryto podatność na atak XSS (Cross-Site Scripting) w funkcji rejestrowania zdarzeń (Log Record Function). Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.
W Casdoorze występuje podatność na zapis dowolnych plików w dostawcy lokalnego systemu plików. Z powodu niewystarczającej sanitizacji ścieżek, uwierzytelniony atakujący z uprawnieniami administratora może przeprowadzić atak typu Path Traversal, aby tworzyć lub nadpisywać dowolne pliki w systemie plików hosta.
W Zephyr gniazda utworzone z `IPPROTO_TLS_1_3` mogą negocjować połączenie TLS 1.2, gdy obie wersje TLS są włączone w Kconfig, ponieważ wybór protokołu na poziomie gniazda nie jest propagowany do mbedTLS. Aplikacje zakładające, że `IPPROTO_TLS_1_3` wymusza TLS 1.3, mogą w rezultacie używać TLS 1.2 i być narażone na specyficzne dla tej wersji słabości.
Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.
Podatność w bibliotece Net::IMAP dla języka Ruby umożliwia wstrzyknięcie poleceń IMAP poprzez argumenty symboliczne przekazywane do komend. Problem został załatany w wersjach 0.4.24, 0.5.14 i 0.6.4.
W edytorze tekstu Vim przed wersją 9.2.0450 występuje przepełnienie bufora na stercie w funkcji read_compound() podczas ładowania spreparowanego pliku z poprawkami (.spl) z aktywnym kodowaniem UTF-8. Złośliwy plik może wykorzystać pole długości kontrolowane przez atakującego, co prowadzi do przepełnienia bufora.
OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.
W jądrze systemu Linux naprawiono podatność związaną z cyklem życia urządzenia sieciowego, które przetrwało odłączenie od urządzenia gadżetu, co prowadziło do problemów z wskaźnikami w sysfs oraz dereferencją wskaźnika null.
W jądrze Linux wykryto podatność w sterowniku czujnika światła bh1780, która powoduje wyciek licznika referencyjnego zarządzania energią (PM runtime) na ścieżce błędu. Problem polega na tym, że funkcja pm_runtime_put_autosuspend() nie jest wywoływana, gdy operacja odczytu zakończy się niepowodzeniem, co prowadzi do nieprawidłowego stanu zarządzania energią.
Aplikacja Password Pusher, służąca do komunikacji wrażliwych informacji w sieci, miała problem z bezpieczeństwem, który pozwalał na nieautoryzowane tworzenie przesyłek plikowych przez ogólny interfejs API JSON w określonych konfiguracjach. Problem ten został naprawiony w wersjach 1.69.3 i 2.4.2.
W jądrze Linuxa zidentyfikowano podatność związaną z funkcją load_segments(), która unieważnia bazę GS, na której opiera się KCOV. W przypadku włączonej opcji CONFIG_KCOV, wywołania kodu C mogą prowadzić do awarii jądra w nieskończonej pętli.
W jądrze Linuxa naprawiono podatność związaną z inwersją blokady między mutexami spi_lock i buf_lock w sterowniku spidev. Problem ten mógł prowadzić do zakleszczeń z powodu różnego porządku nabywania blokad w różnych ścieżkach kodu.
W jądrze systemu Linux zidentyfikowano podatność związaną z wywołaniem funkcji generic_handle_irq() w kontekście nieprzerwanego. Problem ten występuje podczas wznawiania systemu z trybu uśpienia na platformach Tegra, co prowadzi do ostrzeżenia w logach.
Wykryto podatność w 8421bit MiniClaw, dotycząca funkcji executeCognitivePulse w pliku src/kernel.ts. Manipulacja tą funkcją prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.
manage.get.gov to rejestrator TLD .gov zarządzany przez CISA, który pozwala administratorowi organizacji przypisywać uprawnienia zarządzania domeną dla domen, które nie są już przypisane do innej organizacji.
W systemie PHPGurukal Hospital Management System v4.0 wykryto podatność na atak XSS (Cross-Site Scripting) w pliku /hospital/hms/edit-profile.php. Uwierzytelniony atakujący (pacjent) może wstrzyknąć złośliwy skrypt do parametru User Name, który jest przechowywany i wyświetlany w interfejsie lekarza.
W systemie CODEASTRO Membership Management System v1.0 wykryto podatność zdalnego wykonania kodu (RCE) w pliku /add_members.php. Luka wynika z nieprawidłowej sanityzacji przesyłanych plików, co umożliwia atakującemu wstrzyknięcie złośliwych plików i zdalne wykonanie kodu.
W MISP przed wersją 2.5.37 występuje podatność na przechowywane XSS z powodu niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. Atakujący może wprowadzić złośliwe wartości w polach typu i kategorii atrybutów elementów szablonu.

