Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-24240
Wysokie

Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia deserializację niezaufanych danych. Atakujący może wykorzystać ten błąd do zdalnego wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.

CVE-2026-13707
Nieznane

Podatność polegająca na utrwalaniu sesji (session fixation) w mechanizmie OAuth Wikimedia Foundation. Umożliwia atakującemu narzucenie własnego identyfikatora sesji ofierze, co może prowadzić do przejęcia sesji uwierzytelniającej.

CVE-2026-13706
Nieznane

W bibliotece UrlShortener Wikimedia Foundation wykryto podatność polegającą na nieprawidłowej walidacji danych wejściowych. Problem znajduje się w pliku includes/UrlShortenerUtils.php.

CVE-2025-23351
Krytyczne

Podatność w interfejsie poleceń kart NVIDIA ConnectX i BlueField umożliwia lokalnemu użytkownikowi z dostępem do funkcji wirtualnej (VF) spowodowanie zapisu poza dozwolonym obszarem pamięci poprzez spreparowane dane wejściowe. Udane wykorzystanie może prowadzić do wykonania dowolnego kodu na urządzeniu.

CVE-2025-23350
Krytyczne

Podatność w interfejsie poleceń kart NVIDIA ConnectX i BlueField umożliwia lokalnemu użytkownikowi z dostępem do funkcji wirtualnej (VF) zapis poza dozwolonym obszarem pamięci poprzez spreparowane dane wejściowe. Udane wykorzystanie może prowadzić do wykonania dowolnego kodu na urządzeniu.

CVE-2025-15646
Krytyczne

Podatność w bibliotece HTML::Gumbo dla Perla przed wersją 0.19 powoduje ujawnienie pamięci sterty przez pomyłkę typu. Funkcja walk_tree nie obsługuje elementu <template>, traktując go jako węzeł tekstowy, co prowadzi do nadmiernego odczytu sterty przez strlen().

CVE-2026-6688
Wysokie

Podatność w bibliotece FatFs w wersji R0.16 i wcześniejszych dotyczy obsługi długich nazw plików (LFN). Funkcja kopiuje nazwę pliku (do 255 znaków) do krótkich buforów bez sprawdzania rozmiaru, co prowadzi do przepełnienia bufora.

CVE-2026-6687
Wysokie

W bibliotece FatFs w wersji R0.16 i wcześniejszych występuje przepełnienie bufora stosu w funkcji f_getlabel(). Błąd wynika z zaufania długości etykiety exFAT (XDIR_NumLabel) bez wymuszania maksymalnych wartości specyfikacji.

CVE-2026-6686
Średnie

W bibliotece FatFs w wersji R0.16 i wcześniejszych wykryto podatność polegającą na pozostawieniu niezainicjalizowanych klastrów podczas rozszerzania plików poza koniec pliku (EOF) za pomocą funkcji f_lseek(). Nowo przydzielone klastry nie są wypełniane zerami, co może prowadzić do ujawnienia danych.

CVE-2026-6685
Średnie

Podatność w bibliotece FatFs R0.16 i wcześniejszych pozwala na pominięcie sprawdzania spójności pamięci podręcznej (dirty-cache) poprzez zawinięcie przy odejmowaniu bez znaku w funkcjach f_read() i f_write(). Problem występuje podczas przeplatanych operacji odczytu/zapisu na pofragmentowanych systemach plików.

CVE-2026-6684
Średnie

Podatność w bibliotece FatFs przed wersją R0.16, używającej skanowania GPT z włączoną opcją 'FF_LBA64 = 1', powoduje nieskończoną pętlę podczas montowania systemu plików. Problem wynika z nieograniczonej liczby iteracji opartej na polu GPTH_PtNum w nagłówku GPT, co prowadzi do bardzo długiego lub nieskończonego czasu montowania.

CVE-2026-6683
Średnie

Biblioteka FatFs w wersji R0.16 i wcześniejszych zawiera błąd dzielenia przez zero w logice synchronizacji exFAT. Specjalnie spreparowane metadane mogą spowodować, że wartość n_fatent - 2 wyniesie zero podczas operacji zapisu/synchronizacji, prowadząc do awarii systemu.

CVE-2026-6682
Wysokie

W FatFS R0.16 i wcześniejszych wersjach występuje błąd przepełnienia liczby całkowitej w funkcji mount_volume(), gdzie operacja fasize *= fs->n_fats może spowodować zawinięcie, prowadząc do kontrolowanych przez atakującego metadanych rozmiaru pliku i niebezpiecznych długości odczytu w wywołujących funkcjach.

CVE-2026-6283
Średnie

W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting). Luka wynika z nieprawidłowej neutralizacji danych wejściowych podczas generowania stron internetowych, co umożliwia wstrzyknięcie złośliwego skryptu.

CVE-2026-5220
Średnie

W aplikacji DivvyDrive firmy DivvyDrive Information Technologies Inc. wykryto podatność na trwałe ataki XSS (Cross-Site Scripting) spowodowaną niewłaściwą neutralizacją danych wejściowych podczas generowania stron internetowych. Problem dotyczy wersji od 4.8.2.23 do 4.8.3.0.

CVE-2026-5142
Średnie

W oprogramowaniu Foreman stwierdzono podatność, która umożliwia uwierzytelnionym użytkownikom z uprawnieniem 'view_keypairs' pobieranie prywatnych kluczy SSH z innych organizacji poprzez bezpośrednie zapytania o identyfikatory par kluczy. Problem wynika z ominięcia zakresowania taksonomicznego, co prowadzi do nieautoryzowanego dostępu do danych między dzierżawcami.

CVE-2026-5138
Średnie

W Foremanie odkryto podatność ujawnienia informacji między dzierżawami. Uwierzytelniony użytkownik z uprawnieniami do edycji hosta może ominąć kontrolę dostępu i uzyskać wrażliwe dane infrastruktury z nieautoryzowanych organizacji i lokalizacji.

CVE-2026-5135
Średnie

W Foreman znaleziono lukę w kontroli dostępu, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edycji hosta na zmianę istniejącego nadpisania wartości wyszukiwania na inny host. Osiąga się to poprzez modyfikację pola dopasowania za pomocą zagnieżdżonych atrybutów hosta, co skutecznie omija kontrole autoryzacji.

CVE-2026-58399
Wysokie

Podatność w systemie uwierzytelniania @acastellon/auth dla mikrousług pozwala nieuwierzytelnionemu atakującemu ominąć walidację tokena poprzez spreparowane nagłówki HTTP auth-user i Host. Problem występuje w funkcji validateToken() przed wersją 2.3.0.

CVE-2026-58035
Nieznane

Podatność XSS w MediaWiki związana z nieprawidłową neutralizacją danych wejściowych podczas generowania stron. Problem występuje w plikach zasobów odpowiedzialnych za blokowanie użytkowników.

PoprzedniaStrona 50 z 4514Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS