Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Podatność w Red Magic 11 Pro (NX809J) umożliwia nieuprzywilejowanym aplikacjom wywoływanie wrażliwych operacji. Brak walidacji dostępu do interfejsu usługi pozwala atakującemu zapisywać pliki do określonych partycji i ustawiać zapisywalne właściwości systemowe.
Klient LINE dla iOS w wersjach przed 26.3.0 zawiera podatność w przeglądarce wbudowanej, gdzie otwarcie spreparowanej strony internetowej może wielokrotnie wywoływać okna dialogowe na poziomie systemu operacyjnego z powodu niewystarczających zabezpieczeń przy obsłudze dowolnych schematów URL, co może spowodować tymczasową niesprawność urządzenia z iOS.
Podatność CVE-2026-21726 pozwala atakującemu na odczyt plików poprzez wykorzystanie podwójnego kodowania w parametrze namespace w punkcie końcowym Ruler API.
Podatność w funkcji Desktop Agent Cisco Webex Contact Center umożliwiała zdalnemu atakującemu przeprowadzenie ataku cross-site scripting (XSS) bez uwierzytelnienia. Problem wynikał z nieprawidłowego przetwarzania treści HTML i skryptów. Firma Cisco załatała już tę lukę w usłudze, więc klienci nie muszą podejmować żadnych działań.
Podatność w Cisco ISE i Cisco ISE-PIC umożliwia uwierzytelnionemu zdalnie atakującemu przeprowadzenie ataku typu path traversal na system operacyjny i odczyt dowolnych plików. Luka wynika z nieprawidłowej walidacji danych wejściowych użytkownika.
Podatność w interfejsie CLI Cisco Identity Services Engine (ISE) i Cisco ISE Passive Identity Connector (ISE-PIC) umożliwia uwierzytelnionemu lokalnemu atakującemu z uprawnieniami administracyjnymi wykonanie wstrzyknięcia poleceń w systemie operacyjnym i podniesienie uprawnień do roota. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.
W interfejsie zarządzania sieciowego Cisco Identity Services Engine (ISE) wykryto wiele podatności, które umożliwiają uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administracyjnymi do zapisu przeprowadzenie ataków typu stored XSS lub reflected XSS na użytkownika tego interfejsu. Podatności wynikają z niedostatecznego oczyszczania danych dostarczanych przez użytkownika, które są przechowywane na stronie internetowej.
Moduł 'profiling.sampling' (Python 3.15+) oraz możliwości introspekcji 'asyncio' (3.14+) mogą być wykorzystane do odczytu i zapisu adresów w uprzywilejowanym procesie, jeśli ten proces połączy się z złośliwym lub 'zainfekowanym' procesem Python za pomocą funkcji zdalnego debugowania.
Podatność w Fortinet FortiSOAR (wersje PaaS i on-premise) umożliwia atakującemu przechwycenie wrażliwych informacji przesyłanych w postaci niezaszyfrowanego tekstu. Luka występuje w wielu wersjach produktu, od 7.3 do 7.6.
Podatność w Fortinet FortiSOAR (wersje PaaS i on-premise) umożliwia uwierzytelnionemu atakującemu odczytanie haseł w postaci jawnego tekstu w odpowiedziach na zapytania Secure Message Exchange i Radius, jeśli są skonfigurowane. Problem dotyczy przesyłania wrażliwych informacji w niezabezpieczonej formie.
W Keycloak znaleziono lukę w stronie logowania do wyboru organizacji. Zdalny atakujący z uprawnieniami `manage-realm` lub `manage-organizations` może wykorzystać podatność na przechowywane Cross-Site Scripting (XSS), co pozwala na wykonanie złośliwego kodu JavaScript w przeglądarce użytkownika.
Podatność kanału bocznego w implementacji przetwarzania mnemonicznego BIP-39 w portfelach sprzętowych Trezor (wersje 1.13.0-1.14.0) umożliwia atakującemu z fizycznym dostępem podczas konfiguracji odzyskanie kodu mnemonicznego poprzez analizę śladów mocy obliczeniowej z wykorzystaniem głębokiego uczenia. Problem został załatany.
W wyniku podatności typu Open Redirect w SAP NetWeaver Application Server ABAP, nieautoryzowany atakujący może stworzyć złośliwy adres URL, który po otwarciu przez ofiarę przekieruje ją na stronę kontrolowaną przez atakującego. Podatność ta ma niski wpływ na poufność i integralność aplikacji, nie wpływając na dostępność.
W wyniku podatności na wstrzykiwanie kodu w SAP NetWeaver Application Server Java (Web Dynpro Java), nieautoryzowany atakujący może dostarczyć spreparowane dane, które są interpretowane przez aplikację, co prowadzi do odwołania się do treści kontrolowanej przez atakującego. Jeśli ofiara uzyska dostęp do dotkniętej funkcjonalności, ta treść może zostać wykonana w przeglądarce ofiary.
W HAProxy przed wersją 3.3.6 wykryto podatność w parserze HTTP/3. Nie sprawdza on, czy długość odebranego ciała żądania zgadza się z wcześniej zadeklarowanym nagłówkiem Content-Length, gdy strumień jest zamykany ramką z pustym ładunkiem. Problem istnieje od wersji 2.6.
Podatność na atak XSS w systemie zarządzania aktywami Snipe-IT w wersjach od 8.3.0 do 8.3.1. Uwierzytelniony atakujący z minimalnymi uprawnieniami może wstrzyknąć dowolny kod JavaScript przez pola "Imię" i "Nazwisko". Kod wykonuje się przy przeglądaniu raportu aktywności lub profilu przez innych użytkowników z odpowiednimi uprawnieniami, o ile profil nie ma ustawionej wyświetlanej nazwy.
W produkcie HCL DevOps Velocity mechanizm ograniczania szybkości prób logowania nie jest prawidłowo egzekwowany, co umożliwia ataki brute-force po przekroczeniu limitu nieudanych prób logowania. Luka została naprawiona w wersji 5.1.7.
W jądrze systemu Linux zidentyfikowano podatność, która pozwala na przekazanie wartości interwału równiej zeru do funkcji br_mrp_start_test() i br_mrp_start_in_test(), co prowadzi do pętli, która wyczerpuje pamięć systemową i powoduje panikę jądra. Problem ten dotyczy również funkcji br_mrp_start_in_test_parse() dla ramek testowych interkonektów.
Podatność w agencie Palo Alto Networks Cortex XDR dla systemu Windows umożliwia lokalnemu administratorowi Windows wyłączenie agenta. Problem wynika z wady mechanizmu ochronnego.
W podatności CVE-2026-40447 występuje przepełnienie lub owinięcie liczb całkowitych w Samsung Open Source Escargot, co prowadzi do nieokreślonego zachowania. Problem ten dotyczy wersji Escargot: 97e8115ab1110bc502b4b5e4a0c689a71520d335.

