Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.16)

CVE-2026-39979
Średnie

W bibliotece libjq (część narzędzia jq) w funkcji jv_parse_sized() występuje podatność na odczyt poza zakresem bufora. Podczas przetwarzania błędnego JSON-a w buforze niezakończonym znakiem NUL, funkcja formatująca błąd używa %s, które czyta dane aż do napotkania NUL-a, zamiast ograniczyć się do długości podanej przez wywołującego.

CVE-2026-33555
Średnie

W HAProxy przed wersją 3.3.6 wykryto podatność w parserze HTTP/3. Nie sprawdza on, czy długość odebranego ciała żądania zgadza się z wcześniej zadeklarowanym nagłówkiem Content-Length, gdy strumień jest zamykany ramką z pustym ładunkiem. Problem istnieje od wersji 2.6.

CVE-2025-63743
Średnie

Podatność na atak XSS w systemie zarządzania aktywami Snipe-IT w wersjach od 8.3.0 do 8.3.1. Uwierzytelniony atakujący z minimalnymi uprawnieniami może wstrzyknąć dowolny kod JavaScript przez pola "Imię" i "Nazwisko". Kod wykonuje się przy przeglądaniu raportu aktywności lub profilu przez innych użytkowników z odpowiednimi uprawnieniami, o ile profil nie ma ustawionej wyświetlanej nazwy.

CVE-2025-31991
Średnie

W produkcie HCL DevOps Velocity mechanizm ograniczania szybkości prób logowania nie jest prawidłowo egzekwowany, co umożliwia ataki brute-force po przekroczeniu limitu nieudanych prób logowania. Luka została naprawiona w wersji 5.1.7.

CVE-2026-31428
Średnie

W jądrze Linux w module netfilter nfnetlink_log wykryto wyciek niezainicjalizowanych danych sterty do przestrzeni użytkownika. Funkcja __build_packet_message() ręcznie konstruuje atrybut NFULA_PAYLOAD, kopiując tylko dane ładunku, ale nie zerując bajtów dopełnienia (padding), co prowadzi do wycieku poufnych informacji.

CVE-2026-31427
Średnie

W jądrze Linux w module netfilter nf_conntrack_sip wykryto podatność polegającą na użyciu niezainicjalizowanej zmiennej rtp_addr w funkcji process_sdp. Gdy treść SDP nie zawiera aktywnych opisów mediów, zmienna pozostaje niezainicjalizowana, co prowadzi do nadpisania adresów IP w sesji SDP przypadkowymi danymi z pamięci stosu.

CVE-2026-31424
Średnie

W jądrze Linux wykryto podatność w podsystemie netfilter x_tables, gdzie rozszerzenia xt_match i xt_target zarejestrowane jako NFPROTO_UNSPEC mogą być ładowane przez rodzinę protokołów ARP. Z powodu niezgodności masek haków (NF_INET_* vs NF_ARP) dochodzi do błędnej walidacji, co prowadzi do dereferencji wskaźnika NULL i paniki jądra.

CVE-2026-31423
Średnie

W jądrze Linux w schedulerze sieciowym HFSC (sch_hfsc) wykryto podatność na dzielenie przez zero w funkcji rtsc_min(). Problem występuje, gdy różnica dwóch 64-bitowych wartości skalowanych przekracza 2^32 i jest przechowywana w 32-bitowej zmiennej, co prowadzi do jej obcięcia do zera i błędu dzielenia.

CVE-2026-31422
Średnie

W jądrze Linux wykryto podatność w klasyfikatorze przepływu (cls_flow) dla współdzielonych bloków QoS. Funkcja flow_change() wywołuje tcf_block_q() i dereferencuje wskaźnik q->handle, który dla współdzielonych bloków jest NULL, co prowadzi do dereferencji pustego wskaźnika i awarii systemu.

CVE-2026-31421
Średnie

W jądrze Linux wykryto błąd w klasyfikatorze cls_fw, który powoduje dereferencję pustego wskaźnika (NULL pointer dereference) podczas używania filtrów na współdzielonych blokach (shared blocks). Problem występuje, gdy filtr cls_fw jest pusty i pakiet z niezerowym znacznikiem skb jest klasyfikowany, co prowadzi do awarii systemu.

CVE-2026-31420
Średnie

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na przekazanie wartości interwału równiej zeru do funkcji br_mrp_start_test() i br_mrp_start_in_test(), co prowadzi do pętli, która wyczerpuje pamięć systemową i powoduje panikę jądra. Problem ten dotyczy również funkcji br_mrp_start_in_test_parse() dla ramek testowych interkonektów.

CVE-2026-31418
Średnie

W jądrze Linuxa w podsystemie netfilter: ipset wykryto podatność polegającą na nieprawidłowym usuwaniu logicznie pustych zasobników (bucket) w funkcji mtype_del. Funkcja ta nie zwalniała zasobnika, gdy wszystkie wpisy zostały usunięte, ale wskaźnik n->pos wskazywał na pozycję poza usuniętymi slotami.

CVE-2026-31416
Średnie

W jądrze Linuxa w podsystemie netfilter (nfnetlink_log) wykryto błąd w obliczaniu rozmiaru wiadomości NLMSG_DONE. Pomijany jest nagłówek netlinka, co może prowadzić do ostrzeżenia WARN i odrzucenia wiadomości.

CVE-2026-31415
Średnie

W jądrze Linux wykryto podatność w funkcji ip6_datagram_send_ctl() dla IPv6, gdzie 16-bitowy akumulator opt_flen może ulec przepełnieniu przy wielokrotnym przesyłaniu komunikatów sterujących IPV6_DSTOPTS. Prowadzi to do niedoszacowania rozmiaru nagłówka i wywołania paniki jądra przez skb_under_panic(), co skutkuje lokalnym atakiem DoS.

CVE-2026-0232
Średnie

Podatność w agencie Palo Alto Networks Cortex XDR dla systemu Windows umożliwia lokalnemu administratorowi Windows wyłączenie agenta. Problem wynika z wady mechanizmu ochronnego.

CVE-2026-40447
Średnie

W podatności CVE-2026-40447 występuje przepełnienie lub owinięcie liczb całkowitych w Samsung Open Source Escargot, co prowadzi do nieokreślonego zachowania. Problem ten dotyczy wersji Escargot: 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-40446
Średnie

W podatności CVE-2026-40446 występuje problem z dostępem do zasobów przy użyciu niekompatybilnego typu ('confusion type') w Samsung Open Source Escargot, co umożliwia manipulację wskaźnikami. Problem ten dotyczy wersji Escargot: 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-6179
Średnie

Podatność Stored Cross-Site Scripting (XSS) w platformie NightWolf Penetration Testing Platform umożliwia atakującemu wstrzyknięcie i uruchomienie złośliwego skryptu w przeglądarce użytkownika.

CVE-2026-25204
Średnie

Podatność związana z deserializacją niezaufanych danych w Samsung Open Source Escargot Java Script może prowadzić do stanu odmowy usługi poprzez przerwanie procesu. Problem dotyczy wersji escargot przed commit hash 97e8115ab1110bc502b4b5e4a0c689a71520d335.

CVE-2026-33118
Średnie

W Microsoft Edge (oparty na Chromium) występuje błąd w interfejsie użytkownika, który może prowadzić do błędnej prezentacji krytycznych informacji. Umożliwia to nieautoryzowanemu atakującemu przeprowadzenie ataku typu spoofing w sieci.

PoprzedniaStrona 300 z 620Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS