Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wtyczka Groundhogg dla WordPressa (CRM, newslettery i automatyzacja marketingu) w wersjach do 4.5.5 włącznie zawiera podatność na ogólne wstrzykiwanie SQL przez parametr 'search'. Problem wynika z niedostatecznego escapowania danych wejściowych i braku odpowiedniego przygotowania zapytań SQL.
Wtyczka Ivory Search dla WordPressa do wersji 5.5.15 włącznie jest podatna na trwałe ataki XSS przez parametry 'menu_title' i 'menu_magnifier_color'. Luka wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
Podatność w HCL Traveler for Microsoft Outlook (HTMO) umożliwia nieautoryzowany dostęp do wrażliwych danych aplikacji, co może zostać wykorzystane przez atakującego do przeprowadzenia dalszych ataków i wywołania nieprzewidzianego zachowania aplikacji.
W Kestra przed wersjami 1.0.45 i 1.3.21 endpoint previewFileFromExecution (GET /api/v1/{tenant}/executions/{executionId}/file/preview) zawiera obejście kontroli dostępu, umożliwiając każdemu uwierzytelnionemu użytkownikowi odczyt plików wyjściowych z dowolnego wykonania w obrębie tego samego dzierżawcy, z pominięciem izolacji na poziomie wykonania i przestrzeni nazw.
W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwały atak XSS. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole komunikatu przy odbiorze typu egzemplarza.
W systemie Koha Library Management System w wersjach od 0 do 25.11 wykryto podatność na trwałe cross-site scripting (XSS) na stronie szczegółów egzemplarza w module OPAC. Uwierzytelniony atakujący z uprawnieniami edit_items może wstrzyknąć dowolny kod JavaScript poprzez pole publicznych notatek egzemplarza (items.itemnotes).
W systemie Koha Library Management System w wersjach od 0 do 25.11 odkryto podatność na trwałe XSS w panelu administracyjnym typów ograniczeń dla czytelników. Umożliwia ona uwierzytelnionemu zdalnemu atakującemu z uprawnieniami administratora wstrzyknięcie dowolnego skryptu przez pole etykiety typu ograniczenia (display_text).
W nieuwierzytelnionej konsoli debugowania UART routera Tenda N300 F3 (wersja V603) dane uwierzytelniające WPA2 są przechowywane i udostępniane w postaci jawnego tekstu, a polecenia odczytu/zapisu pamięci (rr/wr) nie wymagają autoryzacji. Fizycznie bliski atakujący może uzyskać te dane oraz dowolnie odczytywać lub zapisywać pamięć przez port szeregowy.
W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_Array<AP4_TrunAtom::Entry>::EnsureCapacity. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).
W bibliotece Bento4 przed wersją 1.8.9 wykryto przepełnienie stosu w komponencie AP4_StsdAtom::AP4_StsdAtom. Atakujący może wykorzystać tę podatność, dostarczając spreparowany plik MP4, co prowadzi do odmowy usługi (DoS).
W Notepad++ przed wersją 8.9.6.4 występuje podatność TOCTOU (Time-of-Check Time-of-Use) w obsłudze pliku shortcuts.xml. Sprawdzanie HMAC odbywa się w momencie wykonania polecenia, ale dane polecenia są pobierane z pamięci, która nie jest synchronizowana z plikiem na dysku. Atakujący może podmienić plik przed uruchomieniem, a następnie przywrócić oryginalny, co pozwala na wykonanie złośliwego polecenia.
Notepad++ przed wersją 8.9.6.1 zawiera podatność polegającą na nieprawidłowym przetwarzaniu wiadomości WM_COPYDATA. Lokalny proces w tej samej sesji Windows może wysłać spreparowaną wiadomość, która nie sprawdza długości danych, co może prowadzić do przepełnienia bufora.
Podatność w Lansweeper lsrunase 2.0 i lsencrypt 2.0 polega na użyciu szyfrowania RC4 z zakodowanym na stałe 142-bajtowym kluczem. Ośmioznakowy prefiks jest przechowywany w postaci jawnej obok szyfrogramu, co umożliwia lokalnemu atakującemu odzyskanie hasła w postaci jawnej bez konieczności brute force.
Biblioteki HCL Traveler dla Microsoft Outlook są fałszywie oznaczane jako potencjalnie złośliwe oprogramowanie lub nierozpoznana aplikacja. Może to prowadzić do blokowania instalacji lub uruchamiania oprogramowania przez systemy bezpieczeństwa.
W RustFS w wersji 1.0.0-beta.7 i wcześniejszych, endpoint metryk czasu rzeczywistego /rustfs/admin/v3/metrics jest dostępny dla każdego prawidłowego użytkownika IAM, niezależnie od przypisanej mu polityki. Pominięto wywołanie funkcji validate_admin_request, co pozwala ograniczonym użytkownikom na odczyt wrażliwych danych operacyjnych całego klastra.
W jądrze Linux w sterowniku sieciowym MANA (Microsoft Azure Network Adapter) wykryto podatność polegającą na użyciu nieprawidłowych nazw katalogów debugfs. Poprzednie podejście używało stałej nazwy "0" dla funkcji fizycznych (PF) oraz pci_slot_name() dla funkcji wirtualnych (VF), co prowadziło do wyścigu (race condition) i potencjalnego wycieku pamięci. Poprawka zastępuje te nazwy unikalnym identyfikatorem BDF (Bus:Device.Function) zwracanym przez pci_name().
W jądrze Linux wykryto podatność w sterownikach DSA (Distributed Switch Architecture), która powoduje zakleszczenie (deadlock) podczas wykonywania operacji ethtool na interfejsie nadrzędnym (conduit). Problem wynika z podwójnego blokowania (netdev_lock_ops) w wrapperach DSA, co prowadzi do zawieszenia systemu.
W jądrze Linuxa w podsystemie io_uring/napi brakowało ograniczenia maksymalnego czasu pollowania NAPI, co mogło prowadzić do zawieszenia zadania i zgłoszeń jądra o braku wywłaszczenia. Dodano limit 10 ms, który zapobiega tym problemom.
W jądrze Linux w systemie plików nilfs2 wykryto podatność polegającą na braku odrzucenia zerowej wartości bd_oblocknr w funkcji nilfs_ioctl_mark_blocks_dirty(). Atakujący może wysłać spreparowane żądanie ioctl z bd_oblocknr ustawionym na 0, co powoduje pominięcie kontroli martwych bloków i wywołanie nilfs_bmap_mark() na nieistniejącym bloku, prowadząc do ostrzeżenia WARN_ON i potencjalnego zakłócenia działania systemu.
W jądrze Linux usunięto ostrzeżenie WARN_ON_ONCE z funkcji wbt_init_enable_default(), ponieważ wywoływało fałszywe alarmy przy awariach alokacji pamięci lub rejestracji mechanizmu writeback throttling (wbt). Błędy te są oczekiwane i nieszkodliwe – dysk działa bez throttlingu.

