Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
Podatność XSS w usługach OAuth PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu wstrzyknięcie złośliwego kodu na stronę błędu serwera OAuth. Atak wymaga nakłonienia uwierzytelnionego użytkownika do załadowania treści z zewnętrznej strony po nieudanym logowaniu.
Podatność w PcVue (wersje 12.0.0–16.3.3) powoduje, że domyślna konfiguracja IIS i ASP.NET dodaje nagłówki HTTP, które nie są usuwane podczas wdrażania usług sieciowych dla funkcji WebVue, WebScheduler, TouchVue i SnapVue. Umożliwia to niepotrzebne ujawnianie poufnych informacji o konfiguracji serwera.
Brak walidacji pochodzenia w WebSocketach w interfejsach WebVue, WebScheduler, TouchVue i SnapVue oprogramowania PcVue (wersje 12.0.0–16.3.3) umożliwia zdalnemu atakującemu nakłonienie uwierzytelnionego użytkownika do odwiedzenia złośliwej strony. Podatność dotyczy tylko endpointów GraphicalData/js/signalR/connect i GraphicalData/js/signalR/reconnect.
Podatność w Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 powoduje, że pamięć podręczna `ConfigKeyCache` używa tego samego klucza dla klucza głównego i klucza głównego tylko do odczytu podczas rozwiązywania kluczy typu funkcyjnego. W określonych warunkach czasowych użytkownik z ograniczonymi uprawnieniami może otrzymać z pamięci podręcznej pełny klucz główny, a zwykły użytkownik może otrzymać klucz główny tylko do odczytu.
Parse Dashboard w wersjach od 7.3.0-alpha.42 do 9.0.0-alpha.7 nie posiada ochrony CSRF dla endpointu AI Agent (`POST /apps/:appId/agent`). Atakujący może stworzyć złośliwą stronę, która po odwiedzeniu przez uwierzytelnionego użytkownika dashboardu wysyła żądania do tego endpointu, wykorzystując sesję ofiary.
W podatności CVE-2026-3091 w Synology Presto Client przed wersją 2.1.3-0672 występuje niekontrolowany element ścieżki wyszukiwania, który pozwala lokalnym użytkownikom na odczyt lub zapis dowolnych plików oraz przeprowadzenie ataku typu denial-of-service podczas instalacji, poprzez umieszczenie złośliwego pliku DLL w tym samym katalogu co instalator.
W ImageMagick przed wersją 7.1.2-15 występuje wyciek pamięci w pliku `coders/ashlar.c`. Funkcja `WriteASHLARImage` alokuje strukturę, ale w przypadku wystąpienia wyjątku, pamięć nie jest prawidłowo zwalniana, co prowadzi do potencjalnego wycieku pamięci.
Podatność Open Redirect w funkcji RedirectSlashes biblioteki go-chi/chi w wersji 5.2.2 i nowszych umożliwia zdalnym atakującym przekierowanie ofiar na złośliwe strony przy użyciu domeny legalnej witryny.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem ochrony spinlock w powiadomieniach virtqueue dla urządzenia virtio-crypto. Problem występuje podczas uruchamiania polecenia benchmark openssl z wieloma procesami, co prowadzi do zawieszenia procesów openssl.
W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem licznika aktywnych połączeń w funkcji ksmbd_tcp_new_connection(). W przypadku niepowodzenia funkcji kthread_run(), transport jest zwalniany, co prowadzi do nieodpowiedniego zarządzania licznikiem active_num_conn.
W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do nieskończonej pętli w przypadku błędnej weryfikacji podpisu żądania SMB2. Problem występuje, gdy funkcja __process_request() nieprawidłowo ustawia wskaźnik do następnego polecenia, co skutkuje ciągłym przetwarzaniem tego samego błędnego żądania.
Podatność CVE-2025-8308 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie INFOREX - General Information Management System, co pozwala na ataki typu XSS poprzez nagłówki HTTP. Problem ten dotyczy wersji systemu od 2025 roku i wcześniejszych do 18 lutego 2026 roku.
W Wispotter, produkcie firmy Doruk Communication and Automation Industry and Trade Inc., występuje podatność związana z niewłaściwym ograniczeniem nadmiernych prób uwierzytelnienia, co umożliwia ataki typu brute force na hasła. Problem dotyczy wersji od 1.0 do przed v2025.10.08.1.
W podatności CVE-2025-7706 w oprogramowaniu Liderahenk występuje brak uwierzytelnienia dla krytycznej funkcji, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Liderahenk od 3.0.0 do 3.3.1 przed 3.5.0.
Podatność CVE-2025-8303 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w skrypcie nieruchomości EKA Software. Umożliwia to ataki typu Cross-Site Scripting (XSS).
W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zastoju systemu z powodu oczekiwania procesów na zakończenie operacji zapisu stron metadanych w systemie plików btrfs. Problem dotyczy mechanizmu ograniczania zanieczyszczenia pamięci, który w niektórych przypadkach może prowadzić do deadlocku.
W jądrze systemu Linux zidentyfikowano podatność w funkcji btrfs: send, która nieprawidłowo sprawdza inline extents w funkcji range_is_hole_in_parent(). Niewłaściwy dostęp do pola disk_bytenr może prowadzić do nieprawidłowego dostępu do pamięci, co jest szczególnie niebezpieczne w przypadku inline extents.
W funkcjonalności profilu użytkownika 'Moje szczegóły' w Ideagen Q-Pulse 7.1.0.32 stwierdzono podatność, która pozwala uwierzytelnionemu użytkownikowi na przeglądanie danych profilowych innych użytkowników poprzez modyfikację parametru HTTP objectKey w adresie URL strony 'Moje szczegóły'.
Podatność CVE-2025-13004 dotyczy oprogramowania E-Commerce Package firmy Farktor Software E-Commerce Services Inc. i pozwala na obejście autoryzacji poprzez manipulację zmiennymi kontrolowanymi przez użytkownika.
Zgłoszono podatność na dereferencję wskaźnika NULL, która dotyczy kilku wersji systemu operacyjnego QNAP. Zdalny atakujący posiadający konto administratora może wykorzystać tę podatność do przeprowadzenia ataku typu denial-of-service (DoS).

