Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-27879
Średnie

Zapytanie o ponowne próbkowanie może prowadzić do awarii z powodu braku pamięci w Grafanie.

CVE-2026-27877
Średnie

Podatność w publicznych dashboardach i bezpośrednich źródłach danych ujawnia hasła wszystkich bezpośrednich źródeł danych, nawet jeśli nie są one używane w dashboardach. Hasła źródeł danych z proxy nie są ujawniane.

CVE-2025-61190
Średnie

W DSpace JSPUI 6.5 wykryto podatność na odbity Cross-Site Scripting (XSS) w funkcji filtrowania wyszukiwania. Problem wynika z nieprawidłowego oczyszczania danych wejściowych użytkownika przekazywanych przez parametr filter_type_1.

CVE-2026-32859
Średnie

Podatność typu stored XSS w API artifactów ByteDance DeerFlow przed commit 5dbb362 umożliwia atakującym wstrzyknięcie złośliwego kodu HTML lub JavaScript poprzez przesłanie go jako artifact. Po wyświetleniu artifactu przez użytkownika kod wykonuje się w kontekście przeglądarki.

CVE-2026-27857
Średnie

Wysyłanie polecenia "NOOP (((...)))" z 4000 nawiasów powoduje wzrost użycia pamięci o około 1 MB. Dłuższe polecenia prowadzą do rozłączenia klienta. Atakujący może utrzymać tę alokację pamięci przez dłuższy czas, nie wysyłając znaku końca linii (LF).

CVE-2026-33375
Średnie

Wtyczka źródła danych MSSQL w Grafanie zawiera błąd logiczny, który pozwala użytkownikowi o niskich uprawnieniach (Viewer) na obejście ograniczeń API i wywołanie katastrofalnego wyczerpania pamięci (OOM), co prowadzi do awarii kontenera hosta.

CVE-2026-2100
ŚrednieEPSS 63%

W bibliotece p11-kit wykryto podatność, która pozwala zdalnemu atakującemu wywołać funkcję C_DeriveKey na zdalnym tokenie z określonymi parametrami IBM kyber lub IBM btc ustawionymi na NULL. Może to prowadzić do próby zwrócenia niezainicjalizowanej wartości przez klienta RPC, co skutkuje wyłuskaniem wskaźnika NULL lub niezdefiniowanym zachowaniem.

CVE-2026-21724
Średnie

W Grafana OSS odkryto podatność, która pozwala na obejście autoryzacji w API punktów kontaktowych do provisioningu. Użytkownicy z rolą Edytora mogą modyfikować chronione adresy URL webhooków bez wymaganej zgody na alert.notifications.receivers.protected:write.

CVE-2026-3116
Średnie

Wtyczki Mattermost w wersjach <=11.4, 11.0.4, 11.1.3, 11.3.2 oraz 10.11.11.0 nie weryfikują rozmiaru przychodzących żądań, co pozwala uwierzytelnionemu atakującemu na zakłócenie działania usługi poprzez punkt końcowy webhooka.

CVE-2026-4887
Średnie

W GIMP znaleziono lukę, która polega na nadmiernym odczycie bufora w sterowniku plików PCX z powodu błędu off-by-one. Zdalny atakujący może wykorzystać tę lukę, nakłaniając użytkownika do otwarcia specjalnie przygotowanego obrazu PCX.

CVE-2026-23398
Średnie

W jądrze Linux wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji icmp_tag_validation(). Gdy włączony jest tryb hardened PMTU (ip_no_pmtu_disc=3) i odebrany zostanie pakiet ICMP Fragmentation Needed z wewnętrznym nagłówkiem IP zawierającym niezarejestrowany numer protokołu, dochodzi do paniki jądra w kontekście softirq.

CVE-2026-33219
Średnie

Podatność w serwerze NATS-Server przed wersjami 2.11.15 i 2.12.6 pozwala złośliwemu klientowi na nieograniczone zużycie pamięci przed uwierzytelnieniem poprzez połączenie WebSockets. Atak wymaga wysłania odpowiedniej ilości danych, co stanowi łagodniejszy wariant CVE-2026-27571.

CVE-2026-1001
Średnie

W systemie Domoticz przed wersją 2026.1 wykryto podatność na trwałe skryptowanie między witrynami (XSS) w funkcjach dodawania sprzętu i zmiany nazwy urządzenia. Uwierzytelniony administrator może wstrzyknąć złośliwy kod poprzez podanie spreparowanej nazwy zawierającej znaczniki HTML lub skrypty, który jest następnie przechowywany i wykonywany w przeglądarkach innych użytkowników.

CVE-2026-20108
Średnie

Podatność w interfejsie zarządzania opartym na sieci Web w Cisco Catalyst SD-WAN Manager umożliwia uwierzytelnionemu, zdalnemu atakującemu przeprowadzenie ataku typu cross-site scripting (XSS) na użytkownika tego interfejsu. Problem wynika z niewystarczającej walidacji danych wejściowych.

CVE-2026-23394
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na błędne usunięcie gniazda z kolejki odbiorczej przez zbieranie śmieci (GC) w wyniku wywołania MSG_PEEK. Problem ten występuje w sytuacji, gdy gniazdo jest zamykane podczas sprawdzania jego stanu przez GC, co prowadzi do nieprawidłowego wniosku o martwym gnieździe.

CVE-2026-23389
Średnie

W jądrze systemu Linux zidentyfikowano podatność związana z wyciekiem pamięci w funkcji ice_set_ringparam. Problem polega na tym, że w przypadku niepowodzenia alokacji rx_rings, tx_rings i xdp_rings pozostają niezwolnione, co prowadzi do wycieku pamięci.

CVE-2026-23381
Średnie

W jądrze Linux wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji br_do_suppress_nd() mostka sieciowego. Problem występuje, gdy IPv6 jest wyłączone parametrem ipv6.disable=1, a do mostka dociera pakiet ICMPv6 Neighbor Discovery, co prowadzi do awarii systemu.

CVE-2026-23379
Średnie

W jądrze Linux w harmonogramie sieciowym ETS (Enhanced Transmission Selection) wykryto podatność na dzielenie przez zero w ścieżce offload. Problem wynika z przepełnienia liczb całkowitych bez znaku (unsigned int) podczas obliczania wag WRR, co może prowadzić do awarii systemu (kernel panic).

CVE-2026-23371
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z niewłaściwym dziedziczeniem parametrów przez zadania SCHED_DEADLINE podczas zmiany priorytetu. Problem ten może prowadzić do błędów w obliczaniu pasma, gdy zadanie nie jest poprawnie oznaczane jako wzmocnione.

CVE-2026-23370
Średnie

W jądrze Linux w sterowniku dell-wmi-sysman funkcja set_new_password() zrzucała heksadecymalnie cały bufor zawierający hasła w postaci jawnego tekstu. Usunięto ten zrzut, aby zapobiec wyciekowi danych uwierzytelniających.

PoprzedniaStrona 273 z 588Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS