Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W jądrze Linuxa wykryto podatność związaną z wyścigami danych wokół wskaźników sk->sk_data_ready i sk->sk_write_space. Warstwa skmsg (i prawdopodobnie inne) modyfikuje te wskaźniki, podczas gdy inne rdzenie mogą je jednocześnie odczytywać, co prowadzi do nieokreślonego zachowania.
W jądrze Linuxa zidentyfikowano podatność związaną z błędami w kolejce socketów Bluetooth. Gdy włączone jest znacznik czasu TX, pakiety mogą utknąć w kolejce błędów, co prowadzi do ich wycieku, jeśli nie zostaną odczytane przez użytkownika lub kontroler zostanie niespodziewanie usunięty.
W jądrze Linuxa zidentyfikowano i naprawiono podatność związaną z wyciekiem pamięci struktury cred w funkcji nfsd_nl_threads_set_doit(). Problem polegał na tym, że referencja do cred była przekazywana, ale nie była odpowiednio zwalniana, co prowadziło do wycieku pamięci.
W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zakleszczenia podczas wstrzymywania i wznawiania aplikacji. Problem występuje, gdy aplikacja wydaje zapytanie IOCTL w trakcie automatycznego wstrzymywania, co prowadzi do blokady zasobów.
W podatności CVE-2026-32642 w Apache Artemis i Apache ActiveMQ Artemis występuje nieprawidłowa autoryzacja, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniem 'createDurableQueue' na utworzenie nietrwałej subskrypcji JMS na nieistniejącym adresie, mimo braku uprawnienia 'createAddress'. W rezultacie tymczasowy adres jest tworzony, co nie powinno mieć miejsca.
Podatność Cross-Site Scripting (XSS) w Znuny::ITSM 6.5.x w punkcie końcowym customer.pl przez parametr OTRSCustomerInterface. Umożliwia atakującemu wstrzyknięcie złośliwego skryptu do strony.
W bibliotece BFD pakietu GNU Binutils wykryto podatność polegającą na braku walidacji wartości typu relokacji podczas przetwarzania specjalnie spreparowanych plików XCOFF. Może to prowadzić do odczytu pamięci poza zamierzonym zakresem, powodując awarię narzędzi lub ujawnienie fragmentów pamięci.
Wersje pakietu jsrsasign przed 11.1.1 są podatne na błąd dzielenia przez zero, co może prowadzić do nieprawidłowego działania operacji z kluczem publicznym RSA. Atakujący może wymusić, aby operacje te zwracały z góry określone zera, ukrywając błędy związane z 'nieprawidłowym kluczem'.
Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.
Podatność XSS w SyncFusion 30.1.37 umożliwia wstrzykiwanie złośliwego kodu JavaScript przez pole odpowiedzi na komentarz w edytorze dokumentów oraz przez wiadomość czatu w interfejsie Chat-UI.
Zgłoszono podatność typu cross-site scripting (XSS) w usłudze QuFTP. Zdalny atakujący, posiadając konto administratora, może wykorzystać tę podatność do ominięcia mechanizmów zabezpieczeń lub odczytu danych aplikacji.
Podatność na deserializację niezaufanych danych w TotalSuite TotalContest Lite umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji TotalContest Lite od n/a do 2.9.1.
W jądrze systemu Linux rozwiązano problem z niespójnością flagi IS_CHECKPOINTED, który występował podczas równoczesnych operacji zapisu atomowego i checkpointu w systemie plików F2FS. Problem objawiał się błędem -EINVAL podczas montowania F2FS w określonych warunkach wielowątkowych.
W jądrze systemu Linux zidentyfikowano podatność w kodzie arbitrażu RIVA NV3, która może prowadzić do błędu dzielenia przez zero. Atakujący może skonstruować złośliwe urządzenie, które ustawia parametr state->mclk_khz na zero, co powoduje awarię jądra podczas obliczeń związanych z arbitrażem.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem odpowiedniej ochrony RCU w funkcjach ptype_seq_next() i ptype_seq_show(). Problem polega na tym, że ptype_seq_show() odczytuje nazwę urządzenia bez odpowiednich barier, co może prowadzić do naruszenia zasad RCU.
W jądrze systemu Linux zidentyfikowano podatność związaną z błędnym założeniem dotyczącym flagi `encapsulation` w etapie zakończenia GRO dla UDP. W niektórych scenariuszach, funkcja udp4_gro_complete() używa niewłaściwego przesunięcia sieciowego, co prowadzi do błędów walidacji sumy kontrolnej podczas przetwarzania pakietów.
W jądrze Linuxa rozwiązano podatność związaną z makrami xchk_xfile_*_descr, które wywołują funkcję kasprintf. Funkcja ta może nie przydzielić pamięci, jeśli sformatowany ciąg przekracza 16 bajtów, co może prowadzić do błędów.
W interfejsie konfiguracyjnym urządzeń kontroli dostępu Zucchetti Axess (modele XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+) wykryto podatność na atak typu Cross-Site Scripting (XSS). Problem wynika z braku odpowiedniego oczyszczania danych wejściowych użytkownika w parametrze dirBrowse endpointu /file_manager.cgi.
W jądrze systemu Linux zidentyfikowano podatność dotyczącą wycieku portów źródłowych TCP poprzez boczny kanał SYN cookie. Wprowadzono poprawkę, która przywraca porty TCP do losowania offsetu znaczników czasu.
W Keycloak, rozwiązaniu do zarządzania tożsamością i dostępem, zidentyfikowano błąd polegający na niewłaściwym śledzeniu przekierowań HTTP podczas przetwarzania określonych żądań konfiguracji klientów. Umożliwia to atakującemu oszukanie serwera, aby ten wysyłał niezamierzone żądania do wewnętrznych lub zastrzeżonych zasobów.

