Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Podatność w serwerze httpd powoduje, że skonfigurowane ograniczenia dostępu oparte na adresie IP nie obejmują wszystkich punktów końcowych. Może to umożliwić połączenia z adresów, które powinny być zablokowane.
Router Wi-Fi U-SPEED AC1200 Gigabit (Model T18-21K) V1.0 posiada podatność polegającą na nieprawidłowej kontroli dostępu. Interfejs UART urządzenia nie wymaga uwierzytelnienia, autoryzacji ani żadnych mechanizmów kontroli dostępu. Atakujący z fizycznym dostępem do pinów UART może połączyć się z interfejsem i uzyskać nieograniczony dostęp do funkcji urządzenia.
Uwierzytelniony użytkownik iControl SOAP może uzyskać informacje o innych kontach. Podatność dotyczy oprogramowania, które nie osiągnęło końca wsparcia technicznego.
Podatność w protokole BFD (Bidirectional Forwarding Detection) skonfigurowanym w statycznych i dynamicznych protokołach routingu powoduje, że nieokreślony ruch sieciowy zatrzymuje przetwarzanie pakietów BFD przez moduł TMM (Traffic Management Microkernel). Prowadzi to do przełączenia awaryjnego skonfigurowanego protokołu routingu.
W OpenPLC v3 (commit 2c82b0e79c53f8c1f1458eee15fec173400d6e1a) wykryto podatność na wstrzykiwanie ścieżki. Binarny program skompilowany z glue_generator.cpp nie waliduje parametrów ścieżki pliku przekazywanych przez linię poleceń, co pozwala atakującemu na odczyt dowolnych plików.
W przypadku skonfigurowania BIG-IP DNS, podatność w poleceniach iControl REST gtm_add i bigip_add powoduje zwracanie parametru ssh-password w postaci jawnego tekstu w odpowiedzi REST oraz zapisywanie go w logu audytu. Umożliwia to wysoko uprzywilejowanemu, uwierzytelnionemu atakującemu z dostępem do logu audytu odczytanie poufnych informacji.
W trybie urządzenia (Appliance mode) w nieujawnionym punkcie końcowym iControl REST występuje podatność na przechodzenie między katalogami. Umożliwia ona uwierzytelnionemu atakującemu z uprawnieniami administratora przekroczenie granicy bezpieczeństwa i usunięcie plików.
Podatność w mechanizmie 'submitted together' w Gerrit od wersji 2.12 umożliwia uwierzytelnionemu atakującemu z uprawnieniami force push na drugorzędnej gałęzi ominięcie przeglądu kodu i wymuszenie zatwierdzenia kodu w zastrzeżonych gałęziach poprzez spreparowane zgłoszenie pasujące do tematu niezatwierdzonej zmiany.
vLLM to silnik inferencji i serwowania dużych modeli językowych. W wersjach od 0.18.0 do przed 0.20.0, funkcja extract_hidden_states w vLLM zwraca tensor o nieprawidłowym kształcie po pierwszym kroku dekodowania, co prowadzi do błędu RuntimeError i awarii procesu EngineCore.
Biblioteka ip-address w wersji przed 10.1.1 nie koduje HTML-em danych kontrolowanych przez atakującego w metodach Address6.group() i Address6.link() oraz w komunikatach błędów AddressError.parseMessage. Aplikacja, która przekazuje niezaufane dane do Address6 i renderuje wyniki tych metod jako HTML, jest podatna na ataki XSS.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania stanu odmowy usługi.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na błąd przepełnienia lub owinięcia liczby całkowitej, co może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania odmowy usługi.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania odmowy usługi.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę w zakresie niekontrolowanego zużycia zasobów, co może prowadzić do odmowy usługi aplikacji. Atakujący może wykorzystać tę podatność do wyczerpania zasobów systemowych, co skutkuje stanem odmowy usługi aplikacji.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę w zakresie niekontrolowanego zużycia zasobów, co może prowadzić do odmowy usługi aplikacji. Atakujący może wykorzystać tę podatność do wyczerpania zasobów systemowych, co skutkuje stanem odmowy usługi aplikacji.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę w zakresie niekontrolowanego zużycia zasobów, co może prowadzić do odmowy usługi aplikacji. Atakujący może wykorzystać tę podatność do wyczerpania zasobów systemowych, co skutkuje stanem odmowy usługi aplikacji.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę typu Integer Underflow, która może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania odmowy usługi.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na błąd przepełnienia całkowitego, który może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania odmowy usługi bez potrzeby interakcji z użytkownikiem.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania stanu odmowy usługi.
Wersje CAI Content Credentials [email protected], c2pa-v0.78.2 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do awarii aplikacji. Atakujący może wykorzystać tę podatność do spowodowania odmowy usługi.

