Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W OpenSSH przed wersją 8.9 odkryto problem związany z uwierzytelnianiem kluczem publicznym przy użyciu przekazywania agenta. Jeśli atakujący zmodyfikował serwer, aby wspierał opcję uwierzytelniania None, użytkownik nie może określić, czy uwierzytelnienie FIDO potwierdza chęć połączenia z serwerem, czy też pozwala temu serwerowi na połączenie z innym serwerem w imieniu użytkownika.
Podatność CVE-2020-8562 dotyczy mechanizmu w Kubernetes, który ma na celu zapobieganie dostępowi do sieci lokalnych i localhost przez połączenia proxy. W wyniku błędu w walidacji odpowiedzi DNS, użytkownik może ominąć te ograniczenia i uzyskać dostęp do prywatnych sieci w kontrolerze.
Wszystkie wersje GitLab CE/EE od 13.9 do 14.2.6, od 14.3 do 14.3.4 oraz od 14.4 do 14.4.1 mają lukę w kontroli dostępu, która ujawnia prywatne adresy e-mail przypisanych do zgłoszeń i żądań scalania konsumentom danych Webhook.
W Kubernetes odkryto problem bezpieczeństwa, który może umożliwić użytkownikom wysyłanie ruchu sieciowego do lokalizacji, do których normalnie nie mieliby dostępu, poprzez atak 'confused deputy'.
Podatność w głośnikach biurkowych Winner (ToneWinner) do 9 sierpnia 2021 roku umożliwia zdalnym atakującym odzyskanie sygnałów mowy z diody LED wskaźnika zasilania za pomocą teleskopu i czujnika elektrooptycznego, co jest znane jako atak 'Glowworm'.
W Apache Log4j SMTP appender występuje niewłaściwa walidacja certyfikatu w przypadku niezgodności hosta. Może to umożliwić przechwycenie połączenia SMTPS przez atak typu man-in-the-middle, co może prowadzić do ujawnienia wszelkich wiadomości logów przesyłanych przez ten appender.
IFRAME kontrolki WebBrowser w Internet Explorer 5.01 umożliwia zdalnemu atakującemu naruszenie polityki bezpieczeństwa między ramkami poprzez zdarzenie NavigateComplete2.
Internet Explorer 4.x i 5.x nie weryfikuje poprawnie wszystkich treści certyfikatu SSL, gdy połączenie jest nawiązywane z serwerem za pośrednictwem obrazu lub ramki. Jest to jedna z dwóch różnych podatności związanych z 'Weryfikacją certyfikatu SSL'.
Internet Explorer 4.x i 5.x nieprawidłowo ponownie weryfikuje certyfikat SSL, gdy użytkownik nawiązuje nową sesję SSL z tym samym serwerem w trakcie tej samej sesji przeglądarki.
Protected Store w systemie Windows 2000 nie wybiera odpowiednio najsilniejszego szyfrowania, co skutkuje używaniem domyślnego szyfrowania 40-bitowego zamiast 56-bitowego DES.
Podatność w Microsoft SQL Server 7.0 polega na tym, że mechanizm uwierzytelniania w trybie mieszanym przechowuje hasło konta administratora systemu (sa) w postaci niezaszyfrowanej w pliku dziennika, który jest dostępny dla każdego użytkownika.
Microsoft SQL Server umożliwia lokalnym użytkownikom uzyskanie haseł do baz danych za pośrednictwem okna dialogowego właściwości pakietu Data Transformation Service (DTS), znanego jako podatność 'DTS Password'.
Przepełnienie bufora w programie xlockmore xlock w wersji 4.16 i wcześniejszych umożliwia lokalnym użytkownikom odczytanie wrażliwych danych z pamięci za pomocą długiej opcji -mode.
Nieudokumentowane wywołanie systemowe semconfig w BSD zamraża stan semaforów, co pozwala lokalnym użytkownikom na spowodowanie odmowy usługi systemu semaforów.
NetBSD 1.4.2 i wcześniejsze wersje pozwalają lokalnym użytkownikom na spowodowanie odmowy usługi poprzez wielokrotne wywoływanie określonych wywołań systemowych w jądrze, które nie oddają procesora.
Funkcja ftpd w NetBSD 1.4.2 nieprawidłowo analizuje wpisy w pliku /etc/ftpchroot, co uniemożliwia zastosowanie chroot dla określonych użytkowników. W rezultacie użytkownicy mogą uzyskać dostęp do plików poza swoim katalogiem domowym.
W systemie zapory IPFilter w wersji 3.4.3 i wcześniejszych występuje warunek wyścigu, który pozwala zdalnym atakującym na obejście ograniczeń dostępu, gdy skonfigurowane są nakładające się zasady 'return-rst' i 'keep state'.
Polecenie pgpk w PGP 5.x na systemach Unix wykorzystuje niewystarczająco losowe źródło danych do generowania par kluczy w trybie nieinteraktywnym, co może prowadzić do przewidywalnych kluczy.
Router Netopia R9100 nie zapobiega uwierzytelnionym użytkownikom w modyfikacji tabel SNMP, nawet jeśli administrator skonfigurował to w celu ich ochrony.
Internet Explorer 4.0 i 5.0 umożliwiają złośliwej stronie internetowej uzyskanie dostępu do ciasteczek klienta z innej domeny poprzez umieszczenie nazwy tej domeny oraz znaków escape w adresie URL, co jest znane jako podatność 'Nieautoryzowany dostęp do ciasteczek'.

