Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.14)

CVE-2026-1489
Średnie

W GLib znaleziono lukę, która polega na przepełnieniu całkowitym w implementacji konwersji wielkości liter Unicode. Przetwarzając specjalnie przygotowane i niezwykle duże ciągi Unicode, atakujący może wywołać niewłaściwą alokację pamięci, co prowadzi do zapisów poza przydzielonym obszarem pamięci.

CVE-2026-1484
Średnie

W bibliotece GLib znaleziono błąd w procedurze kodowania Base64, który występuje podczas przetwarzania bardzo dużych danych wejściowych. Niewłaściwe użycie typów całkowitych podczas obliczania długości może prowadzić do błędnego obliczenia granic bufora, co skutkuje zapisem pamięci poza przydzielonym buforem.

CVE-2025-9820
Średnie

W bibliotece GnuTLS wykryto podatność w funkcji gnutls_pkcs11_token_init() odpowiedzialnej za inicjalizację tokenów PKCS#11. Przetwarzanie etykiety tokena dłuższej niż oczekiwano powoduje zapis poza granicami bufora na stosie, co może prowadzić do awarii aplikacji lub potencjalnie do wykonania kodu.

CVE-2025-11065
Średnie

W bibliotece mapstructure dla języka Go wykryto podatność polegającą na ujawnianiu informacji przez szczegółowe komunikaty błędów. Funkcja WeakDecode może zwracać wrażliwe dane wejściowe w komunikatach o błędach podczas przetwarzania nieprawidłowo sformatowanych danych.

CVE-2025-52023
Średnie

Podatność w backendzie PHP systemu gemscms.aptsys.com.sg (do 28 maja 2025) umożliwia nieuwierzytelnionym atakującym zdalne wywołanie szczegółowych komunikatów błędów, które ujawniają wewnętrzne ścieżki plików, fragmenty kodu źródłowego oraz ślady stosu wywołań. Wystarczy wysłać specjalnie spreparowane żądania HTTP GET/POST do publicznych punktów końcowych API.

CVE-2025-52022
Średnie

Podatność w backendzie PHP aplikacji gemsloyalty.aptsys.com.sg (do 2025-05-28) pozwala nieuwierzytelnionym atakującym na wywołanie szczegółowych komunikatów błędów, które ujawniają wewnętrzne ścieżki plików, fragmenty kodu i ślady stosu. Wystarczy wysłać specjalnie spreparowane żądania HTTP GET/POST do publicznych punktów końcowych API.

CVE-2025-2204
Średnie

Podatność CVE-2025-2204 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w oprogramowaniu Tap&Sign firmy Tapandsign Technologies. Umożliwia to ataki typu Cross-Site Scripting (XSS).

CVE-2025-69612
ŚrednieEPSS 55%

W TMS Management Console 6.3.7.27386.20250818 od TMS Global Software wykryto podatność na path traversal w funkcji „Download Template” w panelu profilu. Brak neutralizacji sekwencji „../” w parametrze filePath umożliwia uwierzytelnionym użytkownikom odczyt dowolnych plików, np. Web.config serwera.

CVE-2025-4763
Średnie

Podatność CVE-2025-4763 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie Hotel Guest Hotspot firmy Aida Computer Information Technology Inc. Umożliwia to ataki typu Reflected XSS.

CVE-2026-22976
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do dereferencji wskaźnika NULL podczas dezaktywacji nieaktywnych agregatów w funkcji qfq_reset. Problem występuje, gdy dwa obiekty qfq_class wskazują na ten sam leaf_qdisc, co może prowadzić do błędów w zarządzaniu kolejkami.

CVE-2025-15366
Średnie

Moduł imaplib w Pythonie umożliwia wstrzykiwanie dodatkowych komend poprzez znaki nowej linii w przekazanym przez użytkownika poleceniu. Łagodzenie polega na odrzucaniu komend zawierających znaki kontrolne.

CVE-2026-0990
ŚrednieEPSS 51%

W bibliotece libxml2 wykryto podatność na niekontrolowaną rekurencję w funkcji xmlCatalogXMLResolveURI. Problem występuje, gdy katalog XML zawiera wpis delegowanego URI odnoszący się do samego siebie, co prowadzi do nieskończonej rekurencji i wyczerpania stosu wywołań.

CVE-2025-13454
Średnie

W oprogramowaniu konfiguracyjnym ThinkPlus zgłoszono potencjalną podatność, która może umożliwić lokalnie uwierzytelnionemu użytkownikowi dostęp do wrażliwych informacji o urządzeniu.

CVE-2025-13453
Średnie

Zgłoszono potencjalną podatność w niektórych pamięciach USB ThinkPlus, która może umożliwić użytkownikowi z fizycznym dostępem do urządzenia odczyt danych przechowywanych na nośniku.

CVE-2025-65397
Średnie

Niebezpieczny mechanizm uwierzytelniania w skrypcie startowym safe_exec.sh kamery Blurams Flare w wersji 24.1114.151.929 i wcześniejszych umożliwia atakującemu z fizycznym dostępem do urządzenia wykonanie dowolnych poleceń z uprawnieniami roota, jeśli plik /opt/images/public_key.der nie istnieje w systemie plików. Podatność można wykorzystać, umieszczając złośliwie spreparowany plik auth.ini na karcie SD urządzenia.

CVE-2025-65396
Średnie

Podatność w procesie uruchamiania kamery Blurams Flare w wersji 24.1114.151.929 i wcześniejszych umożliwia fizycznie bliskiemu atakującemu przejęcie mechanizmu rozruchu i uzyskanie powłoki bootloadera przez interfejs UART. Osiąga się to poprzez wywołanie błędu odczytu z pamięci SPI flash podczas uruchamiania, przez zwarcie pinu danych układu do masy. Atakujący może następnie zrzucić całe oprogramowanie układowe, co prowadzi do ujawnienia poufnych informacji, w tym kluczy kryptograficznych i konfiguracji użytkownika.

CVE-2025-67399
Średnie

Podatność w bootloaderze AIRTH SMART HOME AQI MONITOR w wersji 1.005 umożliwia fizycznie bliskiemu atakującemu uzyskanie wrażliwych informacji poprzez otwarty port UART kontrolera BK7231N (moduł Wi-Fi i BLE).

CVE-2025-14242
Średnie

W vsftpd wykryto podatność na atak DoS spowodowany przepełnieniem liczby całkowitej podczas parsowania parametrów polecenia ls. Zdalny, uwierzytelniony atakujący może wywołać awarię serwera, wysyłając spreparowane polecenie STAT z określoną sekwencją bajtów.

CVE-2025-65784
Średnie

Podatność w systemie Hubert Imoveis e Administracao Ltda Hub w wersji 2.0 1.27.3 wynika z nieprawidłowych uprawnień. Umożliwia ona uwierzytelnionym atakującym z niskimi uprawnieniami dostęp do danych innych użytkowników poprzez spreparowane żądanie API.

CVE-2025-68823
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która prowadziła do zakleszczenia podczas odczytu tabeli partycji z urządzenia blokowego ublk. Problem występował, gdy proces próbował uzyskać dostęp do urządzenia blokowego, co prowadziło do sytuacji, w której ten sam proces czekał na mutex, który już posiadał.

PoprzedniaStrona 254 z 551Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS