Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-25680
Średnie

Analiza dowolnego HTML może powodować nadmierne zużycie czasu procesora, co może prowadzić do odmowy usługi.

CVE-2022-34363
Średnie

Dell Unisphere dla PowerMax w wersji przed 10.0.0.2 zawiera podatność na obejście autoryzacji w aplikacji Unisphere dla VMAX działającej w vApp.

CVE-2026-8673
Średnie

Podatność w oprogramowaniu syslink AG Avantra na systemach Linux i Windows polega na braku ochrony transportu poświadczeń, co umożliwia ataki sniffingowe. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-8672
Średnie

Wykryto podatność na użycie domyślnego hasła w oprogramowaniu syslink AG Avantra na systemach Linux i Windows, co umożliwia próby logowania przy użyciu powszechnych lub domyślnych nazw użytkowników i haseł. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-5072
Średnie

W podsystemie PTP w Zephyrze wykryto podatność polegającą na przesunięciu bitowym bez walidacji. Zdalny atakujący może wysłać spreparowaną wiadomość PTP_MSG_MANAGEMENT, ustawiając ujemną wartość log_announce_interval, co prowadzi do niezdefiniowanego zachowania podczas przetwarzania kolejnej wiadomości PTP_MSG_ANNOUNCE. Może to skutkować awarią systemu lub błędami logicznymi.

CVE-2026-44409
Średnie

W ZTE MU5250 występuje podatność na ujawnienie informacji spowodowana niewłaściwą konfiguracją mechanizmu kontroli dostępu. Atakujący mogą uzyskać dostęp do informacji bez autoryzacji.

CVE-2026-39835
Średnie

Serwery SSH używające CertChecker jako wywołania zwrotnego klucza publicznego bez ustawienia IsUserAuthority lub IsHostAuthority mogą ulec awarii (panic) po przedstawieniu certyfikatu przez klienta. CertChecker teraz zwraca błąd zamiast panikować, gdy te wywołania są nil.

CVE-2026-39828
Średnie

Podatność w implementacji SSH powoduje, że gdy callback uwierzytelniania zwróci PartialSuccessError z niepustymi uprawnieniami (Permissions), te uprawnienia są po cichu odrzucane. Może to prowadzić do pominięcia ograniczeń certyfikatu, takich jak wymuszenie konkretnej komendy po pomyślnym drugim czynniku uwierzytelniania.

CVE-2026-4929
Średnie

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

CVE-2026-4093
Średnie

W module Term Reference Tree dla Drupal 7 istnieją dwa wektory XSS, które są przechowywane w procesie renderowania widgetu/formatera. Atakujący może wstrzykiwać złośliwy kod HTML/JS poprzez nieprawidłowo sanitizowane dane w szablonach tokenów oraz etykietach terminów taksonomii.

CVE-2026-6841
Średnie

Request Tracker jest podatny na odzwierciedloną podatność typu cross-site scripting (XSS) poprzez parametr 'Page' w żądaniach GET. Atakujący może stworzyć URL, który po otwarciu powoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-43496
Średnie

W jądrze Linuxa wykryto podatność w dyscyplinie kolejkowania RED (Random Early Detection). Gdy RED ma podrzędną dyscyplinę (np. QFQ), która używa funkcji peek() zwracającej już pobrany pakiet (qdisc_peek_dequeued()), wywołanie dequeue() na RED może prowadzić do dereferencji pustego wskaźnika i paniki jądra. Problem rozwiązano poprzez zastąpienie bezpośredniego wywołania dequeue() metodą qdisc_dequeue_peeked(), która poprawnie obsługuje pakiety z kolejki gso_skb.

CVE-2026-0393
Średnie

Podatny produkt może ujawniać dane uwierzytelniające zdalnie pomiędzy użytkownikami o niskich uprawnieniach podczas równoczesnych operacji logowania z powodu niewystarczającej izolacji danych uwierzytelniających. Podatność dotyczy jedynie operacji logowania w aktywnej sesji wizualizacji.

CVE-2026-2734
Średnie

W wersjach mlflow/mlflow do 3.9.0, punkt końcowy REST API `SearchModelVersions` oraz zapytanie GraphQL `mlflowSearchModelVersions` nie mają odpowiednich kontroli autoryzacji dla poszczególnych modeli, gdy włączona jest podstawowa autoryzacja. To pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich wersji modeli we wszystkich zarejestrowanych modelach, niezależnie od poziomu uprawnień.

CVE-2026-9149
Średnie

W bibliotece libsolv odkryto podatność polegającą na przepełnieniu bufora sterty. Problem występuje podczas przetwarzania specjalnie spreparowanego pliku `.solv` zawierającego ujemne wartości rozmiaru w funkcji `repo_add_solv`, co prowadzi do zbyt małej alokacji pamięci i zapisu poza jej granicami.

CVE-2026-9150
Średnie

W bibliotece libsolv wykryto podatność na przepełnienie bufora stosu podczas przetwarzania specjalnie spreparowanych metadanych repozytorium Debiana. Atakujący może wykorzystać złośliwe znaczniki sum kontrolnych SHA384 lub SHA512, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).

CVE-2026-9136
Średnie

Zidentyfikowano podatność w procesie tworzenia propozycji ShadowAttribute, która pozwalała na aktualizację istniejących rekordów zamiast tworzenia nowych. Użytkownik mógł przesłać identyfikator istniejącego ShadowAttribute, co prowadziło do nieautoryzowanej modyfikacji.

CVE-2026-9124
Średnie

Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 148.0.7778.179 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9122
Średnie

W Google Chrome na Mac przed wersją 148.0.7778.179 wystąpił błąd odczytu poza zakresem w GPU, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-47099
Średnie

Biblioteka TeleJSON przed wersją 6.0.0 zawiera podatność na atak XSS oparty na DOM w funkcji parse(). Atakujący może dostarczyć spreparowany ładunek JSON ze złośliwą wartością właściwości _constructor-name_, która jest przekazywana bezpośrednio do new Function() bez sanityzacji, co umożliwia wykonanie dowolnego kodu JavaScript.

PoprzedniaStrona 264 z 603Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS