Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w bibliotece JavaScript::Minifier::XS dla Perla przed wersją 0.16 powoduje crash przez dereferencję wskaźnika NULL, gdy pierwszym znaczącym tokenem wejścia jest ukośnik. Problem występuje w funkcji JsTokenizeString podczas rozróżniania wyrażenia regularnego od operatora dzielenia.
Podatność w bibliotece MDEx dla Elixira/Erlanga pozwala na wyczerpanie tablicy atomów poprzez przetworzenie specjalnie spreparowanego dokumentu JSON. Funkcja json_to_node/1 tworzy nowe atomy dla każdej unikalnej wartości node_type, które nie są usuwane przez garbage collector, co prowadzi do awarii całej maszyny wirtualnej BEAM.
Podatność w Safari umożliwia złośliwej stronie internetowej kradzież danych między różnymi źródłami (cross-origin). Problem został rozwiązany poprzez ulepszone sprawdzanie w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.
W przeglądarce Safari oraz systemach Apple (iOS, iPadOS, macOS) wykryto podatność typu use-after-free, która może prowadzić do uszkodzenia pamięci podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez ulepszone zarządzanie pamięcią.
Podatność w Safari i systemach Apple umożliwia złośliwej stronie internetowej przetwarzanie zastrzeżonych treści internetowych poza sandboxem. Problem został rozwiązany poprzez poprawioną walidację danych wejściowych.
Podatność w systemach Apple umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu lub zapis do pamięci jądra. Problem został rozwiązany poprzez poprawę sanityzacji danych wejściowych.
W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność typu use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uszkodzenia pamięci.
W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność polegającą na pomyleniu typów (type confusion). Problem został rozwiązany poprzez ulepszone sprawdzanie typów. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do uszkodzenia pamięci.
Podatność w Safari i systemach Apple pozwala złośliwej stronie internetowej na przetwarzanie ograniczonej treści internetowej poza sandboxem. Problem został rozwiązany poprzez ulepszone sprawdzanie w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 i macOS Tahoe 26.5.2.
Podatność w luci-proto-openvpn do wersji 0.11.1 (załatana w commicie e4ff45e) umożliwia wstrzyknięcie poleceń powłoki w metodzie generateKey ubus. Parametr cl_meta jest interpolowany do polecenia powłoki bez odpowiedniego escapowania, co pozwala uwierzytelnionemu użytkownikowi LuCI z dostępem do konfiguracji OpenVPN na wykonanie dowolnych poleceń jako root przez funkcję popen.
Podatność w luci-app-tailscale-commons pozwala uwierzytelnionym użytkownikom na wykonanie dowolnych poleceń jako root przez metodę RPC tailscale.do_login. Problem wynika z nieprawidłowego cytowania parametrów loginserver i loginserver_authkey w podwójnie cudzysłowionym poleceniu powłoki, co umożliwia interpretację podstawień powłoki, takich jak $().
Podatność SQL injection w SigNoz do wersji 0.130.1 umożliwia uwierzytelnionym atakującym wykonanie dowolnych zapytań ClickHouse poprzez wstrzyknięcie zakodowanych w URL cudzysłowów do parametru identyfikatora reguły w endpointach historii alertów. Atakujący mogą odczytać wszystkie przechowywane trace'e, logi i metryki lub wykorzystać funkcję url() do fałszowania żądań po stronie serwera (SSRF).
Podatność w ruoyi-vue-pro do wersji 2026.05 (załatana w commicie 5d1fd70) wynika z błędnego egzekwowania przestrzeni nazw uprawnień w kontrolerze ErpSaleOrderController. Atakujący z uprawnieniami erp:sale-out mogą uzyskać nieautoryzowany dostęp do operacji na zamówieniach sprzedaży, wykonując nieuprawnione tworzenie, aktualizację, usuwanie i odczyt wrażliwych finansowo zamówień.
Podatność SSRF w Pinpoint do wersji 3.1.0 pozwala uwierzytelnionym użytkownikom rejestrować wewnętrzne adresy URL w punkcie końcowym webhooka z powodu braku ochrony przed fałszowaniem żądań po stronie serwera. Atakujący mogą wywołać naruszenie progów alarmowych, zmuszając serwer do wysyłania żądań POST do wewnętrznych hostów i punktów końcowych metadanych.
Podatność w Modoboa przed wersją 2.9.0 w punkcie końcowym PUT /api/v1/accounts/{pk}/password/ umożliwia niebezpieczne bezpośrednie odwołanie do obiektu (IDOR). Administratorzy domen mogą zmienić hasło dowolnego użytkownika, w tym superadministratora, co prowadzi do pełnego przejęcia konta.
Podatność w Nitter pozwala nieuwierzytelnionym atakującym na wykorzystanie punktu końcowego proxy mediów /video do wysyłania żądań HTTP do dowolnych hostów osiągalnych przez serwer, w tym do usług metadanych chmury i zasobów sieci wewnętrznej. Problem wynika z braku walidacji docelowych adresów URL względem domen Twitter/X oraz użycia zakodowanego na stałe domyślnego klucza HMAC.
Podatność Directory Traversal w systemie Gigamon GVOS w wersji 5.16.1 i niższych, występująca w podsystemie H-VUE, umożliwia nieautoryzowany dostęp do plików poza katalogiem głównym aplikacji.
W komponencie EtherNet IP Message Handler biblioteki CIPster (wersje do e8e9dba09bf56962807d3504b783ccdb6287f3e4) wykryto podatność polegającą na zapisie poza dozwolonym obszarem pamięci w funkcji BufWriter::append. Atak zdalny jest możliwy, a exploit został opublikowany.
W bibliotece libtiff odkryto podatność, która pozwala zdalnemu atakującemu na wykonanie kodu lub wywołanie odmowy usługi (DoS) poprzez dostarczenie specjalnie spreparowanego obrazu TIFF skompresowanego kodekiem PixarLog. Problem występuje podczas dekodowania obrazów PixarLog z formatem wyjściowym PIXARLOGDATAFMT_8BITABGR i określoną wartością kroku (stride), co prowadzi do przepełnienia bufora sterty.
W Rancher w wersjach 2.14 przed 2.14.2, 2.13 przed 2.13.6 oraz 2.12 przed 2.12.10 użytkownicy z rolą Project Owner mogą wykorzystać nieprawidłowe zarządzanie uprawnieniami do eskalacji swoich przywilejów.

