Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2026-23368
Średnie

W jądrze Linux wykryto zakleszczenie AB-BA podczas rejestracji triggerów LED dla PHY. Problem występuje, gdy oba moduły LEDS_TRIGGER_NETDEV i LED_TRIGGER_PHY są włączone, co prowadzi do wzajemnego blokowania się przy próbie uzyskania dostępu do listy triggerów i globalnego muteksu RTNL.

CVE-2026-23365
Średnie

W sterowniku kalmia dla urządzeń USB w jądrze Linux brakuje walidacji punktów końcowych USB. Podatność umożliwia atakującemu podłączenie złośliwego urządzenia USB, które nie ma oczekiwanych punktów końcowych, co prowadzi do awarii systemu (crash) przy próbie ich dostępu.

CVE-2026-23346
Średnie

W jądrze Linuxa zidentyfikowano podatność w funkcji ioremap_prot(), która może prowadzić do błędów odczytu pamięci z poziomu jądra na systemach arm64 z włączonym PAN. Problem polega na zwracaniu nowego mapowania użytkownika, które jest niedostępne dla jądra.

CVE-2026-23335
Średnie

W sterowniku irdma jądra Linux wykryto wyciek danych ze stosu jądra w funkcji irdma_create_user_ah(). Pole rezerwowe struktury odpowiedzi nie jest zerowane przed wysłaniem do przestrzeni użytkownika, co powoduje wyciek 4 bajtów pamięci stosu.

CVE-2026-23321
Średnie

W jądrze Linuxa wykryto podatność w mechanizmie MPTCP (Multipath TCP) dotyczącą zarządzania punktami końcowymi. Błąd powoduje wyzwolenie ostrzeżenia (warning) podczas usuwania punktu końcowego z flagami 'signal' i 'subflow', gdy limit podprzepływów MPTCP jest ustawiony na 0. Problem wynika z nieprawidłowego oznaczania punktu końcowego jako użytego, co prowadzi do niespójności stanu.

CVE-2026-23310
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na zmianę polityki haszowania transmisji na vlan+srcmac, gdy program XDP jest załadowany na bondzie w trybie 802.3ad lub balance-xor. To może prowadzić do niezgodności i błędów podczas usuwania bondów.

CVE-2026-23304
Średnie

W jądrze Linux wykryto błąd powodujący dereferencję pustego wskaźnika w funkcji ip6_rt_get_dev_rcu(). Problem występuje, gdy urządzenie podrzędne jest odłączane od VRF, a funkcja l3mdev_master_dev_rcu() zwraca NULL, co prowadzi do awarii systemu.

CVE-2026-23302
Średnie

W jądrze Linuxa wykryto podatność związaną z wyścigami danych wokół wskaźników sk->sk_data_ready i sk->sk_write_space. Warstwa skmsg (i prawdopodobnie inne) modyfikuje te wskaźniki, podczas gdy inne rdzenie mogą je jednocześnie odczytywać, co prowadzi do nieokreślonego zachowania.

CVE-2026-23300
Średnie

W jądrze Linux wykryto podatność powodującą panikę systemu, gdy trasa IPv4 odwołuje się do obiektu następnego skoku IPv6 skonfigurowanego na interfejsie pętli zwrotnej (loopback). Problem wynika z błędnej klasyfikacji takiego obiektu jako trasy odrzucającej (reject), co pomija inicjalizację struktury danych nhc_pcpu_rth_output, prowadząc do dereferencji wskaźnika NULL.

CVE-2026-23299
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z błędami w kolejce socketów Bluetooth. Gdy włączone jest znacznik czasu TX, pakiety mogą utknąć w kolejce błędów, co prowadzi do ich wycieku, jeśli nie zostaną odczytane przez użytkownika lub kontroler zostanie niespodziewanie usunięty.

CVE-2026-23297
Średnie

W jądrze Linuxa zidentyfikowano i naprawiono podatność związaną z wyciekiem pamięci struktury cred w funkcji nfsd_nl_threads_set_doit(). Problem polegał na tym, że referencja do cred była przekazywana, ale nie była odpowiednio zwalniana, co prowadziło do wycieku pamięci.

CVE-2026-23295
Średnie

W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zakleszczenia podczas wstrzymywania i wznawiania aplikacji. Problem występuje, gdy aplikacja wydaje zapytanie IOCTL w trakcie automatycznego wstrzymywania, co prowadzi do blokady zasobów.

CVE-2026-23293
Średnie

W jądrze Linux wykryto podatność w sterowniku VXLAN, która powoduje dereferencję wskaźnika NULL w tablicy sąsiedztwa IPv6 (nd_tbl) podczas uruchamiania systemu z parametrem 'ipv6.disable=1'. Atakujący może wysłać spreparowany pakiet IPv6 do interfejsu VXLAN, wywołując funkcję route_shortcircuit(), która prowadzi do błędu Oops i potencjalnego zawieszenia systemu.

CVE-2026-23290
Średnie

W sterowniku pegasus dla USB w jądrze Linux brakuje walidacji punktów końcowych USB. Złośliwe urządzenie USB może spowodować awarię sterownika przez brak wymaganych punktów końcowych.

CVE-2026-23287
Średnie

W jądrze Linuxa w sterowniku irqchip/sifive-plic wykryto podatność powodującą zamrożenie przerwań. Problem występuje, gdy zmiana ustawienia powinowactwa (affinity) przerwania jest wykonywana w trakcie jego obsługi przez dany rdzeń, co prowadzi do ignorowania komunikatu o zakończeniu przerwania przez kontroler PLIC. Skutkuje to całkowitym zablokowaniem przerwań dla danego urządzenia.

CVE-2026-23284
Średnie

W jądrze Linux w sterowniku mtk_eth_soc wykryto podatność polegającą na nieprawidłowym zarządzaniu wskaźnikiem programu eBPF w funkcji mtk_xdp_setup(). W przypadku błędu podczas wywołania mtk_open wskaźnik nie jest resetowany do old_prog, a licznik odwołań jest nieprawidłowo zmniejszany.

CVE-2026-28861
Średnie

W przeglądarce Safari oraz systemach Apple wykryto problem logiczny w zarządzaniu stanem, który może pozwolić złośliwej stronie internetowej na dostęp do procedur obsługi komunikatów skryptów przeznaczonych dla innych źródeł. Luka została załatana w Safari 26.4, iOS 18.7.7, iPadOS 18.7.7, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2026-28859
Średnie

Podatność w Safari i powiązanych komponentach systemów Apple umożliwia złośliwej stronie internetowej przetwarzanie zastrzeżonych treści internetowych poza sandboxem. Problem został rozwiązany poprzez poprawę zarządzania pamięcią.

CVE-2026-28857
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci. Luka została załatana w Safari 26.4, iOS 26.4 i iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2026-20664
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci w Safari 26.4, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

PoprzedniaStrona 274 z 588Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS