Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-35023
Średnie

W wersjach Wimi Teamwork On-Premises przed 8.2.0 występuje podatność na nieautoryzowany dostęp do obiektów w punkcie końcowym preview.php, gdzie parametr item_id nie jest odpowiednio zabezpieczony. Atakujący mogą enumerować sekwencyjne wartości item_id, aby uzyskać dostęp do podglądów obrazów z prywatnych lub grupowych rozmów innych użytkowników.

CVE-2026-30613
Średnie

Podatność ujawniania informacji w AZIOT 1 Node Smart Switch (16A) z oprogramowaniem w wersji 1.1.9 wynika z nieprawidłowej kontroli dostępu do interfejsu debugowania UART. Atakujący z fizycznym dostępem może podłączyć się do interfejsu UART i uzyskać poufne informacje z konsoli szeregowej bez uwierzytelnienia.

CVE-2026-31313
Średnie

W Feehi CMS v2.1.1 wykryto podatność na trwały atak XSS w module tworzenia/edycji treści. Uwierzytelniony atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do pola Content, który zostanie wykonany w przeglądarkach innych użytkowników.

CVE-2026-5590
Średnie

W procesie zamykania połączenia TCP występuje wyścig, który powoduje, że funkcja tcp_recv() działa na już zwolnionym połączeniu. Gdy tcp_conn_search() zwraca NULL podczas przetwarzania pakietu SYN, wskaźnik NULL pochodzący z nieaktualnych danych kontekstu jest przekazywany do tcp_backlog_is_full() i wyłuskiwany bez walidacji, co prowadzi do awarii systemu.

CVE-2026-5530
Średnie

W bibliotece Ollama w wersji do 0.18.1 wykryto podatność w komponencie Model Pull API, w pliku server/download.go. Umożliwia ona zdalne wykonanie ataku typu Server-Side Request Forgery (SSRF) poprzez manipulację nieokreślonym procesem.

CVE-2026-23469
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy synchronizacji przerwań przed wstrzymaniem GPU. W przypadku, gdy obsługa przerwań jest w toku na innym rdzeniu CPU, może dojść do awarii jądra podczas próby dostępu do rejestrów GPU.

CVE-2026-23468
Średnie

W jądrze Linuxa rozwiązano podatność, która pozwalała na przekazywanie dowolnej liczby wpisów listy BO przez pole bo_number. Wprowadzenie twardego limitu 128 tys. wpisów na listę BO zapobiega atakom na wyczerpanie pamięci oraz zapewnia przewidywalną wydajność.

CVE-2026-23442
Średnie

W jądrze Linuxa rozwiązano podatność polegającą na braku sprawdzenia wartości NULL dla idev w ścieżkach SRv6. Funkcja __in6_dev_get() może zwrócić NULL, gdy urządzenie nie ma konfiguracji IPv6, co może prowadzić do dereferencji wskaźnika NULL.

CVE-2026-35549
Średnie

Wykryto problem w serwerze MariaDB przed wersją 11.4.10, 11.5.x do 11.8.x przed 11.8.6 oraz 12.x przed 12.2.2. Jeśli zainstalowany jest wtyczka uwierzytelniająca caching_sha2_password, a niektóre konta użytkowników są skonfigurowane do jej używania, duża paczka może spowodować awarię serwera, ponieważ sha256_crypt_r używa alloca.

CVE-2026-35466
Średnie

Podatność XSS w pliku cveInterface.js umożliwia wstrzykiwanie kodu HTML do wyświetlenia, ponieważ cveInterface ufa danym wejściowym z usług API CVE.

CVE-2026-30603
Średnie

Podatność w mechanizmie aktualizacji oprogramowania sprzętowego urządzenia Qianniao QN-L23PA0904 w wersji v20250721.1640 umożliwia atakującym uzyskanie dostępu root, instalację backdoorów oraz kradzież danych poprzez dostarczenie spreparowanego skryptu iu.sh umieszczonego na karcie SD.

CVE-2026-26895
Średnie

Podatność umożliwiająca enumerację użytkowników w pliku /pwreset.php w osTicket v1.18.2. Zdalny atakujący może sprawdzić, które nazwy użytkowników są zarejestrowane na platformie.

CVE-2026-2737
Średnie

Podatność w Progress Flowmon przed wersjami 12.5.8 i 13.0.6 umożliwia atakującemu nakłonienie administratora do kliknięcia złośliwego linku, co może skutkować wykonaniem niezamierzonych działań w ramach jego uwierzytelnionej sesji internetowej.

CVE-2026-34871
Średnie

W Mbed TLS przed wersją 3.6.6 oraz 4.x przed wersją 4.1.0 oraz w TF-PSA-Crypto przed wersją 1.1.0 odkryto problem związany z przewidywalnym ziarnem w generatorze liczb pseudolosowych (PRNG).

CVE-2026-25834
Średnie

Mbed TLS w wersjach od 3.3.0 do 3.6.5 oraz w wersji 4.0.0 umożliwia obniżenie poziomu algorytmu. Atakujący może wykorzystać tę podatność do wymuszenia użycia słabszych algorytmów kryptograficznych.

CVE-2026-20174
Średnie

Podatność w funkcji aktualizacji metadanych Cisco Nexus Dashboard Insights umożliwia uwierzytelnionemu, zdalnemu atakującemu zapis dowolnych plików w systemie. Problem wynika z niewystarczającej walidacji pliku aktualizacji metadanych.

CVE-2026-20042
Średnie

Podatność w funkcji tworzenia kopii zapasowych konfiguracji Cisco Nexus Dashboard umożliwia atakującemu, który posiada hasło szyfrowania oraz dostęp do pełnych lub częściowych plików kopii zapasowych, uzyskanie dostępu do poufnych informacji. Problem wynika z przechowywania danych uwierzytelniających w zaszyfrowanych plikach kopii zapasowych.

CVE-2026-29598
Średnie

W systemie DDSN Interactive Acora CMS w wersji 10.7.1 odkryto wiele podatności na trwały cross-site scripting (XSS) w punkcie końcowym submit_add_user.asp. Atakujący może wstrzyknąć złośliwy kod JavaScript lub HTML do parametrów First Name i Last Name, co prowadzi do wykonania skryptów w przeglądarkach innych użytkowników.

CVE-2026-5273
Średnie

Wykorzystanie po zwolnieniu pamięci w CSS w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-2394
Średnie

Podatność typu Buffer Over-read w RTI Connext Professional (Biblioteki Core) pozwala na nadmierne odczytywanie buforów. Problem ten dotyczy wersji Connext Professional od 7.4.0 do przed 7.7.0, od 7.0.0 do przed 7.3.1.1, od 6.1.0 do przed 6.1.2.34, od 6.0.0 do przed 6.0.*, od 5.3.0 do przed 5.3.*, oraz od 4.3x do przed 5.2.*.

PoprzedniaStrona 247 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS