Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W ISPConfig 3.3.0 wykryto podatność na atak typu Cross Site Scripting (XSS) na stronie statusu systemu. Umożliwia ona wstrzyknięcie złośliwego skryptu do przeglądarki administratora.
Podatność w Apache Thrift polega na alokacji pamięci o nadmiernym rozmiarze, co może prowadzić do awarii lub potencjalnego wykorzystania przez atakującego. Problem dotyczy wersji przed 0.23.0.
Beets to system zarządzania biblioteką multimediów. W wersjach przed 2.10.0, wbudowany interfejs webowy używał interpolacji szablonów Underscore <%= ... %> dla nieufnych pól metadanych, co prowadziło do możliwości wstrzyknięcia złośliwego kodu HTML.
W bibliotece Assimp w wersji 6.0.2 wykryto podatność umożliwiającą atakującemu zdalne spowodowanie odmowy usługi (DoS) poprzez funkcję ParseVectorDataArray() w pliku FBXParser.cpp.
W bibliotece Assimp w wersji 6.0.2 wykryto podatność umożliwiającą atakującemu zdalne spowodowanie odmowy usługi (DoS) poprzez wykorzystanie błędu w komponencie FBXConverter.cpp, konkretnie w funkcji FBXConverter::ConvertMeshMultiMaterial().
W bibliotece Assimp w wersji 6.0.2 wykryto podatność na atak DoS. Problem występuje w pliku FBXMeshGeometry.cpp w funkcji MeshGeometry::MeshGeometry(). Zdalny atakujący może wykorzystać tę lukę do spowodowania odmowy usługi.
W systemie GeoVision LPC2011/LPC2211 w wersji 1.10 występuje podatność na eskalację uprawnień w funkcjonalności Web Interface / ssi.cgi. Specjalnie skonstruowane żądanie HTTP może prowadzić do wycieku danych uwierzytelniających.
W jądrze Linuxa zidentyfikowano podatność związaną z funkcjami vidtv_ts_null_write_into() oraz vidtv_ts_pcr_write_into(), które przyjmują argumenty jako struktury przekazywane przez wartość. To powoduje ostrzeżenia MSAN dotyczące niezainicjowanych wartości.
Open CASCADE Technology (OCCT) w wersji V8_0_0_rc5 zawiera wiele podatności w swoich parserach plików IGES i STEP, które mogą być wywołane przez spreparowane pliki IGES lub STEP. Problemy te obejmują odczyt poza zakresem w Geom2d_BSplineCurve::EvalD0 oraz nieskończoną rekurencję w StepShape_OrientedEdge::EdgeStart.
W podatności CVE-2026-42480 występuje błąd odczytu poza granicami stosu w funkcji VrmlData_Scene::ReadLine w parserze VRML w Open CASCADE Technology (OCCT) V8_0_0_rc5. Atakujący może wykorzystać tę lukę do wywołania odmowy usługi poprzez spreparowany plik VRML.
Podatność SQL injection w MixPHP Framework w wersjach 2.x do 2.2.17. Luka występuje w funkcji joinOn w pliku BuildHelper.php, gdzie nieprawidłowo obsługiwana jest tablica `on`, umożliwiając wstrzyknięcie kodu SQL.
W jądrze Linux stwierdzono podatność w mechanizmie BPF, która pozwalała na dołączanie programów kprobe.multi z flagą sleepable do kontekstów atomowych/RCU. Brak walidacji w funkcji bpf_kprobe_multi_link_attach() umożliwiał wywoływanie funkcji uśpionych (np. bpf_copy_from_user()) w kontekście, w którym nie jest to dozwolone, co prowadziło do błędu krytycznego (splat).
W jądrze Linuxa w sterowniku USB cdns3 dla trybu gadget wykryto podatność na dereferencję pustego wskaźnika w funkcji ep_queue. Gdy punkt końcowy (endpoint) jest wyłączony lub nieskonfigurowany, wskaźnik ep->desc może być NULL, co prowadzi do awarii jądra przy wywołaniu __cdns3_gadget_ep_queue().
W jądrze Linuxa w funkcji gpiochip_add_data_with_key() wykryto wyciek zasobów na ścieżkach obsługi błędów. Po zmianie z commit aab5c6f20023, pole `gdev->dev.release` nie jest ustawiane, co powoduje, że licznik odwołań do `gdev->dev` nie jest zmniejszany przy błędach. Łatka dodaje odpowiednie zwalnianie referencji oraz porządkuje kod, aby uniknąć podwójnego zwolnienia pamięci.
W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do dereferencji wskaźnika NULL w funkcji eth_get_drvinfo. Problem występuje podczas zapytania narzędzia użytkownika o interfejs, gdy urządzenie jest odłączone.
W jądrze systemu Linux zidentyfikowano podatność, która została rozwiązana. Dotyczy ona funkcji set_posix_acl_entries_dacl() i set_ntacl_dacl(), które mogą prowadzić do przepełnienia zmiennej u16 podczas akumulacji rozmiarów ACE, co skutkuje nadpisywaniem wcześniejszych wpisów ACL.
W jądrze systemu Linux zidentyfikowano podatność w sterowniku caiaq, polegającą na braku odpowiedniego odniesienia do urządzenia USB w funkcji create_card(). Może to prowadzić do dereferencji zwolnionego obiektu usb_device, co stwarza ryzyko awarii systemu.
W bibliotece GnuTLS stwierdzono podatność polegającą na rozróżnianiu wielkości liter podczas porównywania etykiet w ograniczeniach nazw (nameConstraints) dla dNSName i rfc822Name. Atakujący może wykorzystać różnice w wielkości liter w polu Subject Alternative Name (SAN) certyfikatu, aby obejść politykę i uzyskać akceptację certyfikatu, który powinien być odrzucony.
Podatność w Keycloak powoduje, że wyłączenie funkcji account i account-api za pomocą flagi `--features-disabled` jest nieskuteczne. Pięć endpointów REST API na ścieżce `/account/v1alpha1` pozostaje w pełni funkcjonalnych, ponieważ brakuje w nich mechanizmu `checkAccountApiEnabled()`, który poprawnie blokuje pozostałe cztery endpointy w tej samej klasie serwisu.
Podatność w opcjonalnym komponencie Assisted Installer (assisted-service) w Multicluster Engine (MCE) pozwala uwierzytelnionemu użytkownikowi z minimalnymi uprawnieniami w przestrzeni nazw na uzyskanie poświadczeń administracyjnych dla dowolnego klastra OpenShift utworzonego przez hub. Lokalny tryb uwierzytelniania (AUTH_TYPE=local) nie sprawdza uprawnień do punktów końcowych, a JWT jest do odczytu w InfraEnvStatus.ISODownloadURL.

