Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-22662
Średnie

Podatność w narzędziu prompts.chat przed commit 1464475 umożliwia uwierzytelnionym użytkownikom wykonanie ślepego fałszerstwa żądań po stronie serwera (SSRF) przez parametr inputImageUrl w generatorze multimediów Wiro. Atakujący mogą wysyłać żądania POST do punktu końcowego /api/media-generate w celu skanowania sieci wewnętrznej, uzyskiwania dostępu do wewnętrznych usług i eksfiltracji danych przez usługę Wiro.

CVE-2026-31391
Średnie

W jądrze Linux w sterowniku atmel-sha204a wykryto wyciek licznika ->tfm_count w przypadku niepowodzenia alokacji pamięci. Błąd powoduje, że licznik nie jest dekrementowany, co może zablokować przyszłe operacje odczytu.

CVE-2026-23475
Średnie

W jądrze Linux stwierdzono podatność w alokacji statystyk dla kontrolera SPI. Statystyki per-CPU nie były alokowane przed rejestracją kontrolera, co umożliwiało wywołanie dereferencji wskaźnika NULL podczas dostępu do atrybutów sysfs.

CVE-2026-23474
Średnie

W jądrze Linux wykryto podatność w parserze tablicy partycji RedBoot, która powoduje crash systemu podczas uruchamiania. Problem wynika z użycia funkcji memcmp() do porównania danych poza przydzielonym buforem, co przy włączonej opcji FORTIFY_SOURCE prowadzi do ostrzeżenia o przepełnieniu bufora i oops.

CVE-2026-23469
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy synchronizacji przerwań przed wstrzymaniem GPU. W przypadku, gdy obsługa przerwań jest w toku na innym rdzeniu CPU, może dojść do awarii jądra podczas próby dostępu do rejestrów GPU.

CVE-2026-23468
Średnie

W jądrze Linuxa rozwiązano podatność, która pozwalała na przekazywanie dowolnej liczby wpisów listy BO przez pole bo_number. Wprowadzenie twardego limitu 128 tys. wpisów na listę BO zapobiega atakom na wyczerpanie pamięci oraz zapewnia przewidywalną wydajność.

CVE-2026-23463
Średnie

W jądrze Linux wykryto błąd w sterowniku QBMAN dla układów Freescale/NXP. W funkcji qman_destroy_fq występuje wyścig (race condition) między zwalnianiem identyfikatora FQID a czyszczeniem wpisu w tablicy fq_table, co może prowadzić do fałszywego ostrzeżenia WARN_ON w qman_create_fq.

CVE-2026-23452
Średnie

W jądrze Linux wykryto błąd wyścigu (race condition) w mechanizmie zarządzania energią (PM runtime). Funkcja pm_runtime_work() może odwoływać się do wskaźnika dev->parent po zwolnieniu pamięci urządzenia nadrzędnego, co prowadzi do użycia po zwolnieniu (use-after-free). Problem został załatany przez dodanie wywołania flush_work() w pm_runtime_remove().

CVE-2026-23446
Średnie

W jądrze Linux wykryto podatność w sterowniku aqc111 dla urządzeń USB. Podczas wywoływania funkcji zawieszania (suspend) wykonywane są operacje zarządzania energią (PM), które prowadzą do zakleszczenia (deadlock) w systemie runtime PM, blokując cały stos sieciowy.

CVE-2026-23442
Średnie

W jądrze Linuxa rozwiązano podatność polegającą na braku sprawdzenia wartości NULL dla idev w ścieżkach SRv6. Funkcja __in6_dev_get() może zwrócić NULL, gdy urządzenie nie ma konfiguracji IPv6, co może prowadzić do dereferencji wskaźnika NULL.

CVE-2026-23439
Średnie

W jądrze Linux wykryto podatność w funkcji udp_sock_create6, która przy wyłączonym CONFIG_IPV6 zwraca sukces (0) bez utworzenia gniazda. Powoduje to dereferencję niezainicjalizowanego wskaźnika gniazda przez wywołującego (np. fou_create), prowadzącą do błędu NULL pointer dereference.

CVE-2026-23438
Średnie

W jądrze Linuxa w sterowniku mvpp2 wykryto podatność polegającą na wywołaniu funkcji mvpp2_bm_switch_buffers() bez sprawdzenia, czy wskaźnik cm3_base nie jest NULL. Brak zasobu CM3 SRAM w drzewie urządzeń powoduje dereferencję pustego wskaźnika i awarię systemu podczas zmiany MTU.

CVE-2026-35549
Średnie

Wykryto problem w serwerze MariaDB przed wersją 11.4.10, 11.5.x do 11.8.x przed 11.8.6 oraz 12.x przed 12.2.2. Jeśli zainstalowany jest wtyczka uwierzytelniająca caching_sha2_password, a niektóre konta użytkowników są skonfigurowane do jej używania, duża paczka może spowodować awarię serwera, ponieważ sha256_crypt_r używa alloca.

CVE-2026-35466
Średnie

Podatność XSS w pliku cveInterface.js umożliwia wstrzykiwanie kodu HTML do wyświetlenia, ponieważ cveInterface ufa danym wejściowym z usług API CVE.

CVE-2026-30603
Średnie

Podatność w mechanizmie aktualizacji oprogramowania sprzętowego urządzenia Qianniao QN-L23PA0904 w wersji v20250721.1640 umożliwia atakującym uzyskanie dostępu root, instalację backdoorów oraz kradzież danych poprzez dostarczenie spreparowanego skryptu iu.sh umieszczonego na karcie SD.

CVE-2026-26895
Średnie

Podatność umożliwiająca enumerację użytkowników w pliku /pwreset.php w osTicket v1.18.2. Zdalny atakujący może sprawdzić, które nazwy użytkowników są zarejestrowane na platformie.

CVE-2026-2737
Średnie

Podatność w Progress Flowmon przed wersjami 12.5.8 i 13.0.6 umożliwia atakującemu nakłonienie administratora do kliknięcia złośliwego linku, co może skutkować wykonaniem niezamierzonych działań w ramach jego uwierzytelnionej sesji internetowej.

CVE-2026-35000
Średnie

Podatność w ChangeDetection.io przed wersją 0.54.7 pozwala na ominięcie zabezpieczeń w parserze SafeXPath3Parser. Atakujący może odczytać dowolne pliki lokalne za pomocą nieblokowanych funkcji XPath 3.0/3.1, takich jak json-doc().

CVE-2026-34871
Średnie

W Mbed TLS przed wersją 3.6.6 oraz 4.x przed wersją 4.1.0 oraz w TF-PSA-Crypto przed wersją 1.1.0 odkryto problem związany z przewidywalnym ziarnem w generatorze liczb pseudolosowych (PRNG).

CVE-2026-25834
Średnie

Mbed TLS w wersjach od 3.3.0 do 3.6.5 oraz w wersji 4.0.0 umożliwia obniżenie poziomu algorytmu. Atakujący może wykorzystać tę podatność do wymuszenia użycia słabszych algorytmów kryptograficznych.

PoprzedniaStrona 276 z 593Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS