Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.15)
Zapytanie o ponowne próbkowanie może prowadzić do awarii z powodu braku pamięci w Grafanie.
Podatność w publicznych dashboardach i bezpośrednich źródłach danych ujawnia hasła wszystkich bezpośrednich źródeł danych, nawet jeśli nie są one używane w dashboardach. Hasła źródeł danych z proxy nie są ujawniane.
W DSpace JSPUI 6.5 wykryto podatność na odbity Cross-Site Scripting (XSS) w funkcji filtrowania wyszukiwania. Problem wynika z nieprawidłowego oczyszczania danych wejściowych użytkownika przekazywanych przez parametr filter_type_1.
Podatność typu stored XSS w API artifactów ByteDance DeerFlow przed commit 5dbb362 umożliwia atakującym wstrzyknięcie złośliwego kodu HTML lub JavaScript poprzez przesłanie go jako artifact. Po wyświetleniu artifactu przez użytkownika kod wykonuje się w kontekście przeglądarki.
Wysyłanie polecenia "NOOP (((...)))" z 4000 nawiasów powoduje wzrost użycia pamięci o około 1 MB. Dłuższe polecenia prowadzą do rozłączenia klienta. Atakujący może utrzymać tę alokację pamięci przez dłuższy czas, nie wysyłając znaku końca linii (LF).
Wtyczka źródła danych MSSQL w Grafanie zawiera błąd logiczny, który pozwala użytkownikowi o niskich uprawnieniach (Viewer) na obejście ograniczeń API i wywołanie katastrofalnego wyczerpania pamięci (OOM), co prowadzi do awarii kontenera hosta.
W bibliotece p11-kit wykryto podatność, która pozwala zdalnemu atakującemu wywołać funkcję C_DeriveKey na zdalnym tokenie z określonymi parametrami IBM kyber lub IBM btc ustawionymi na NULL. Może to prowadzić do próby zwrócenia niezainicjalizowanej wartości przez klienta RPC, co skutkuje wyłuskaniem wskaźnika NULL lub niezdefiniowanym zachowaniem.
W Grafana OSS odkryto podatność, która pozwala na obejście autoryzacji w API punktów kontaktowych do provisioningu. Użytkownicy z rolą Edytora mogą modyfikować chronione adresy URL webhooków bez wymaganej zgody na alert.notifications.receivers.protected:write.
Wtyczki Mattermost w wersjach <=11.4, 11.0.4, 11.1.3, 11.3.2 oraz 10.11.11.0 nie weryfikują rozmiaru przychodzących żądań, co pozwala uwierzytelnionemu atakującemu na zakłócenie działania usługi poprzez punkt końcowy webhooka.
W GIMP znaleziono lukę, która polega na nadmiernym odczycie bufora w sterowniku plików PCX z powodu błędu off-by-one. Zdalny atakujący może wykorzystać tę lukę, nakłaniając użytkownika do otwarcia specjalnie przygotowanego obrazu PCX.
W jądrze Linux wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji icmp_tag_validation(). Gdy włączony jest tryb hardened PMTU (ip_no_pmtu_disc=3) i odebrany zostanie pakiet ICMP Fragmentation Needed z wewnętrznym nagłówkiem IP zawierającym niezarejestrowany numer protokołu, dochodzi do paniki jądra w kontekście softirq.
Podatność w serwerze NATS-Server przed wersjami 2.11.15 i 2.12.6 pozwala złośliwemu klientowi na nieograniczone zużycie pamięci przed uwierzytelnieniem poprzez połączenie WebSockets. Atak wymaga wysłania odpowiedniej ilości danych, co stanowi łagodniejszy wariant CVE-2026-27571.
W systemie Domoticz przed wersją 2026.1 wykryto podatność na trwałe skryptowanie między witrynami (XSS) w funkcjach dodawania sprzętu i zmiany nazwy urządzenia. Uwierzytelniony administrator może wstrzyknąć złośliwy kod poprzez podanie spreparowanej nazwy zawierającej znaczniki HTML lub skrypty, który jest następnie przechowywany i wykonywany w przeglądarkach innych użytkowników.
Podatność w interfejsie zarządzania opartym na sieci Web w Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataku typu cross-site scripting (XSS) na użytkownika tego interfejsu. Problem wynika z niewystarczającej walidacji danych wejściowych.
W jądrze systemu Linux zidentyfikowano podatność, która pozwala na błędne usunięcie gniazda z kolejki odbiorczej przez zbieranie śmieci (GC) w wyniku wywołania MSG_PEEK. Problem ten występuje w sytuacji, gdy gniazdo jest zamykane podczas sprawdzania jego stanu przez GC, co prowadzi do nieprawidłowego wniosku o martwym gnieździe.
W jądrze systemu Linux zidentyfikowano podatność związana z wyciekiem pamięci w funkcji ice_set_ringparam. Problem polega na tym, że w przypadku niepowodzenia alokacji rx_rings, tx_rings i xdp_rings pozostają niezwolnione, co prowadzi do wycieku pamięci.
W jądrze Linux wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji br_do_suppress_nd() mostka sieciowego. Problem występuje, gdy IPv6 jest wyłączone parametrem ipv6.disable=1, a do mostka dociera pakiet ICMPv6 Neighbor Discovery, co prowadzi do awarii systemu.
W jądrze Linux w harmonogramie sieciowym ETS (Enhanced Transmission Selection) wykryto podatność na dzielenie przez zero w ścieżce offload. Problem wynika z przepełnienia liczb całkowitych bez znaku (unsigned int) podczas obliczania wag WRR, co może prowadzić do awarii systemu (kernel panic).
W jądrze Linuxa zidentyfikowano podatność związaną z niewłaściwym dziedziczeniem parametrów przez zadania SCHED_DEADLINE podczas zmiany priorytetu. Problem ten może prowadzić do błędów w obliczaniu pasma, gdy zadanie nie jest poprawnie oznaczane jako wzmocnione.
W jądrze Linux w sterowniku dell-wmi-sysman funkcja set_new_password() zrzucała heksadecymalnie cały bufor zawierający hasła w postaci jawnego tekstu. Usunięto ten zrzut, aby zapobiec wyciekowi danych uwierzytelniających.

