Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-42510
Średnie

OpenStack Ironic w wersjach przed 35.0.1 umożliwia wykonanie ipmitool w konfiguracji, która nie jest domyślna i posiada interfejs konsoli.

CVE-2026-40355
Średnie

W MIT Kerberos 5 (krb5) przed wersją 1.22.3 występuje błąd dereferencji wskaźnika NULL, gdy aplikacja wywołuje funkcję gss_accept_sec_context() w systemie z zarejestrowanym mechanizmem NegoEx w /etc/gss/mech. Nieuwierzytelniony zdalny atakujący może to wykorzystać, powodując zakończenie procesu w funkcji parse_nego_message.

CVE-2026-0711
ŚrednieEPSS 56%

Podatność na wstrzykiwanie poleceń po uwierzytelnieniu w interfejsach API EasyMesh w oprogramowaniu Zyxel DX3300-T0 do wersji 5.50(ABVY.7.1)C0 umożliwia uwierzytelnionemu, sąsiadującemu atakującemu z uprawnieniami administratora wykonanie poleceń systemu operacyjnego na urządzeniu.

CVE-2026-40975
Średnie

W Spring Boot wartości generowane przez ${random.value} nie są bezpieczne do użycia jako sekrety, ponieważ opierają się na słabym generatorze liczb pseudolosowych. ${random.uuid} nie jest podatny, natomiast ${random.int} i ${random.long} również nie powinny być używane do sekretów ze względu na przewidywalny zakres liczbowy.

CVE-2026-38936
Średnie

W aplikacji diskover-community w wersji 2.3.5 i wcześniejszych wykryto podatność na odbity atak XSS. Luka występuje w pliku public/selectindices.php poprzez parametr namecontains.

CVE-2026-38935
Średnie

W aplikacji diskover-community w wersji 2.3.5 i wcześniejszych odkryto podatność na odbity atak XSS. Atakujący może wstrzyknąć złośliwy kod JavaScript poprzez parametr doctype w pliku public/view.php.

CVE-2026-30462
Średnie

Podatność typu path traversal w module Blocks systemu Daylight Studio FuelCMS v1.5.2 umożliwia atakującym wykonanie operacji przechodzenia między katalogami.

CVE-2026-40514
Średnie

SmarterTools SmarterMail w wersjach przed 9610 zawiera słabość kryptograficzną w punktach końcowych udostępniania plików i e-maili, wykorzystującą szyfrowanie DES-CBC z kluczami i wektorami inicjalizacyjnymi pochodzącymi z System.Random, co prowadzi do ograniczonej przestrzeni nasion do około 19 000 możliwych wartości. Atakujący bez uwierzytelnienia może wykorzystać punkt końcowy pobierania załączników jako oracle do określenia używanego nasienia i wyprowadzenia kluczy szyfrujących oraz wektorów inicjalizacyjnych, co pozwala na fałszowanie tokenów udostępniania dla dowolnych e-maili, załączników lub zawartości przechowywanych plików bez wcześniejszego dostępu do docelowej zawartości.

CVE-2026-31684
Średnie

W jądrze systemu Linux zidentyfikowano podatność związaną z walidacją zagnieżdżonych nagłówków VLAN w funkcji tcf_csum_act(). Błąd polega na tym, że kod nie sprawdza, czy pełny nagłówek VLAN jest dostępny w liniowym obszarze przed jego odczytem, co może prowadzić do naruszenia zasad integralności skb.

CVE-2026-31681
Średnie

W jądrze systemu Linux zidentyfikowano podatność w module netfilter, która dotyczy walidacji kodowania zakresu w funkcji checkentry. Funkcja ports_match_v1() błędnie traktuje niezerowe wpisy pflags jako początek zakresu portów, co może prowadzić do nieprawidłowej interpretacji reguł.

CVE-2026-41481
Średnie

W bibliotece LangChain przed wersją 1.1.2 wykryto podatność SSRF w funkcji HTMLHeaderTextSplitter.split_text_from_url(). Mimo walidacji początkowego URL, przekierowania nie były sprawdzane, co pozwala atakującemu na dostęp do wewnętrznych zasobów sieciowych.

CVE-2026-41472
Średnie

CyberPanel w wersjach przed 2.4.4 zawiera podatność na trwałe XSS w panelu AI Scanner. Brak autoryzacji w endpointcie POST /api/ai-scanner/callback pozwala nieuwierzytelnionym atakującym wstrzyknąć złośliwy JavaScript przez nadpisanie pola findings_json rekordów ScanHistory.

CVE-2026-42041
Średnie

Biblioteka Axios przed wersjami 1.15.1 i 0.31.1 jest podatna na atak typu Prototype Pollution, który pozwala na wyciszenie wszystkich odpowiedzi HTTP z błędami (401, 403, 500 itp.), traktując je jako sukces. Przyczyną jest użycie operatora `in` w strategii scalania `mergeDirectKeys` dla właściwości `validateStatus`, co umożliwia przedostanie się zanieczyszczonego prototypu do logiki walidacji.

CVE-2026-41898
Średnie

Podatność w bibliotece rust-openssl (wersje od 0.9.24 do 0.10.78) powoduje, że funkcje zwrotne dla PSK i cookie nie sprawdzają wartości zwracanej przez domknięcie użytkownika względem rozmiaru bufora. Może to prowadzić do przepełnienia bufora i innych nieprzewidzianych konsekwencji.

CVE-2026-31671
Średnie

W jądrze Linux wykryto wyciek informacji w funkcji build_report() w podsystemie xfrm_user. Struktura xfrm_user_report zawiera niezerowane bajty wyrównania, które są kopiowane do przestrzeni użytkownika, co może ujawniać dane z pamięci jądra.

CVE-2026-31670
Średnie

W jądrze Linux stwierdzono podatność w mechanizmie rfkill, która pozwala użytkownikowi na tworzenie nieograniczonej liczby zdarzeń rfkill bez ich odbierania z deskryptora pliku. Może to prowadzić do wyczerpania pamięci (out-of-memory).

CVE-2026-31664
Średnie

W jądrze Linux wykryto lukę w funkcji build_polexpire() w podsystemie xfrm. Nie czyści ona bajtów dopełnienia po polu 'hard' w strukturze xfrm_user_polexpire, co powoduje wyciek niezainicjalizowanej pamięci sterty do przestrzeni użytkownika przez multicast netlink.

CVE-2026-31658
Średnie

W jądrze Linuxa w sterowniku altera-tse wykryto wyciek pamięci. Funkcja tse_start_xmit() nie zwalniała bufora skb po niepowodzeniu mapowania DMA, co prowadziło do wycieku pamięci przy każdym błędzie DMA.

CVE-2026-31651
Średnie

W jądrze Linux w sterowniku vub300 dla kart MMC/SD przez USB wykryto podatność polegającą na wyłuskaniu wskaźnika NULL (NULL-deref) podczas odłączania urządzenia. Problem wynika z braku wyrejestrowania kontrolera przed zwolnieniem danych sterownika, co może prowadzić do awarii systemu.

CVE-2026-31642
Średnie

W jądrze systemu Linux naprawiono podatność związaną z usuwaniem wywołań rxrpc z listy rxnet->calls. Zmiana polega na użyciu list_del_rcu() zamiast list_del_init(), co zapobiega potencjalnemu wpadnięciu w nieskończoną pętlę podczas odczytu /proc/net/rxrpc/calls.

PoprzedniaStrona 280 z 605Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS