Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-23299
Średnie

W jądrze Linuxa zidentyfikowano podatność związaną z błędami w kolejce socketów Bluetooth. Gdy włączone jest znacznik czasu TX, pakiety mogą utknąć w kolejce błędów, co prowadzi do ich wycieku, jeśli nie zostaną odczytane przez użytkownika lub kontroler zostanie niespodziewanie usunięty.

CVE-2026-23297
Średnie

W jądrze Linuxa zidentyfikowano i naprawiono podatność związaną z wyciekiem pamięci struktury cred w funkcji nfsd_nl_threads_set_doit(). Problem polegał na tym, że referencja do cred była przekazywana, ale nie była odpowiednio zwalniana, co prowadziło do wycieku pamięci.

CVE-2026-23295
Średnie

W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zakleszczenia podczas wstrzymywania i wznawiania aplikacji. Problem występuje, gdy aplikacja wydaje zapytanie IOCTL w trakcie automatycznego wstrzymywania, co prowadzi do blokady zasobów.

CVE-2026-23293
Średnie

W jądrze Linux wykryto podatność w sterowniku VXLAN, która powoduje dereferencję wskaźnika NULL w tablicy sąsiedztwa IPv6 (nd_tbl) podczas uruchamiania systemu z parametrem 'ipv6.disable=1'. Atakujący może wysłać spreparowany pakiet IPv6 do interfejsu VXLAN, wywołując funkcję route_shortcircuit(), która prowadzi do błędu Oops i potencjalnego zawieszenia systemu.

CVE-2026-23290
Średnie

W sterowniku pegasus dla USB w jądrze Linux brakuje walidacji punktów końcowych USB. Złośliwe urządzenie USB może spowodować awarię sterownika przez brak wymaganych punktów końcowych.

CVE-2026-23287
Średnie

W jądrze Linuxa w sterowniku irqchip/sifive-plic wykryto podatność powodującą zamrożenie przerwań. Problem występuje, gdy zmiana ustawienia powinowactwa (affinity) przerwania jest wykonywana w trakcie jego obsługi przez dany rdzeń, co prowadzi do ignorowania komunikatu o zakończeniu przerwania przez kontroler PLIC. Skutkuje to całkowitym zablokowaniem przerwań dla danego urządzenia.

CVE-2026-23284
Średnie

W jądrze Linux w sterowniku mtk_eth_soc wykryto podatność polegającą na nieprawidłowym zarządzaniu wskaźnikiem programu eBPF w funkcji mtk_xdp_setup(). W przypadku błędu podczas wywołania mtk_open wskaźnik nie jest resetowany do old_prog, a licznik odwołań jest nieprawidłowo zmniejszany.

CVE-2026-28861
Średnie

W przeglądarce Safari oraz systemach Apple wykryto problem logiczny w zarządzaniu stanem, który może pozwolić złośliwej stronie internetowej na dostęp do procedur obsługi komunikatów skryptów przeznaczonych dla innych źródeł. Luka została załatana w Safari 26.4, iOS 18.7.7, iPadOS 18.7.7, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2026-28859
Średnie

Podatność w Safari i powiązanych komponentach systemów Apple umożliwia złośliwej stronie internetowej przetwarzanie zastrzeżonych treści internetowych poza sandboxem. Problem został rozwiązany poprzez poprawę zarządzania pamięcią.

CVE-2026-28857
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci. Luka została załatana w Safari 26.4, iOS 26.4 i iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2026-20664
Średnie

Podatność w WebKit umożliwia awarię procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci w Safari 26.4, iOS 26.4, iPadOS 26.4, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2026-33412
ŚrednieEPSS 54%

W Vimie przed wersją 9.2.0202 wykryto podatność na wstrzykiwanie poleceń w funkcji glob() na systemach uniksowych. Poprzez umieszczenie znaku nowej linii (\n) we wzorcu przekazywanym do glob() atakujący może wykonać dowolne polecenia powłoki. Podatność zależy od ustawienia 'shell' użytkownika.

CVE-2026-32642
Średnie

W podatności CVE-2026-32642 w Apache Artemis i Apache ActiveMQ Artemis występuje nieprawidłowa autoryzacja, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniem 'createDurableQueue' na utworzenie nietrwałej subskrypcji JMS na nieistniejącym adresie, mimo braku uprawnienia 'createAddress'. W rezultacie tymczasowy adres jest tworzony, co nie powinno mieć miejsca.

CVE-2025-52204
Średnie

Podatność Cross-Site Scripting (XSS) w Znuny::ITSM 6.5.x w punkcie końcowym customer.pl przez parametr OTRSCustomerInterface. Umożliwia atakującemu wstrzyknięcie złośliwego skryptu do strony.

CVE-2026-4647
Średnie

W bibliotece BFD pakietu GNU Binutils wykryto podatność polegającą na braku walidacji wartości typu relokacji w specjalnie spreparowanych plikach XCOFF. Może to prowadzić do odczytu pamięci poza zamierzonym zakresem, powodując awarię narzędzi lub ujawnienie zawartości pamięci.

CVE-2026-4603
Średnie

Wersje pakietu jsrsasign przed 11.1.1 są podatne na błąd dzielenia przez zero, co może prowadzić do nieprawidłowego działania operacji z kluczem publicznym RSA. Atakujący może wymusić, aby operacje te zwracały z góry określone zera, ukrywając błędy związane z 'nieprawidłowym kluczem'.

CVE-2026-33221
Średnie

Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.

CVE-2026-4438
Średnie

Podatność w bibliotece GNU C Library (glibc) w wersjach od 2.34 do 2.43 powoduje, że wywołanie funkcji gethostbyaddr lub gethostbyaddr_r z odpowiednio skonfigurowanym plikiem nsswitch.conf (wskazującym na backend DNS) może zwrócić nieprawidłową nazwę hosta DNS, naruszając specyfikację DNS.

CVE-2025-63260
Średnie

Podatność XSS w SyncFusion 30.1.37 umożliwia wstrzykiwanie złośliwego kodu JavaScript przez pole odpowiedzi na komentarz w edytorze dokumentów oraz przez wiadomość czatu w interfejsie Chat-UI.

CVE-2026-22895
Średnie

Zgłoszono podatność typu cross-site scripting (XSS) w usłudze QuFTP. Zdalny atakujący, posiadając konto administratora, może wykorzystać tę podatność do ominięcia mechanizmów zabezpieczeń lub odczytu danych aplikacji.

PoprzedniaStrona 296 z 610Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS