Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Vim to otwartoźródłowy edytor tekstu działający w trybie wiersza poleceń. Gdy wyłączona jest wiadomość o liczbie wyników wyszukiwania, wzorzec wyszukiwania jest wyświetlany na dole ekranu w buforze. W trybie odwróconym wzorzec wyszukiwania jest odwracany.
W repozytorium GitHub vim/vim przed wersją 20d161ace307e28690229b68584f2d84556f8960 występuje podatność związana z dereferencją wskaźnika NULL. Może to prowadzić do nieprzewidzianego zachowania aplikacji.
W repozytorium GitHub vim/vim przed wersją 9.0.1392 występuje błąd dereferencji wskaźnika NULL. Może to prowadzić do nieoczekiwanego zachowania aplikacji.
Wtyczka Netrw w Vimie przechowuje dane uwierzytelniające sesji FTP i wysyła je podczas nawiązywania kolejnych sesji FTP do serwerów na różnych hostach. Dotyczy to wersji 109, 131 i innych przed 133k dla Vima 7.1.266 oraz innych wersji 7.1 i 7.2.
Dekoder protokołu SMB w tcpdump w wersji 4.99.3 może wykonać zapis poza przydzielonym obszarem pamięci podczas dekodowania spreparowanej paczki sieciowej.
Certifi to zbiór certyfikatów głównych służących do weryfikacji zaufania certyfikatów SSL oraz tożsamości hostów TLS. W wersji 2022.12.07 usunięto certyfikaty główne od 'TrustCor' z magazynu głównego, które są w trakcie usuwania z magazynu zaufania Mozilli.
Wersja 2.10.1 biblioteki pyjwt zawiera słabą metodę szyfrowania. Dostawca kwestionuje tę podatność, wskazując, że długość klucza jest wybierana przez aplikację korzystającą z biblioteki.
W OpenSSH do wersji 7.8 występuje zdalnie obserwowalna podatność w pliku auth-gss2.c, która może być wykorzystana przez zdalnych atakujących do wykrywania istnienia użytkowników na docelowym systemie, gdy używany jest GSS2.
Nmap w wersjach do 7.70, przy użyciu opcji -sV, pozwala zdalnym atakującym na spowodowanie odmowy usługi (zużycie stosu i awaria aplikacji) poprzez spreparowaną usługę opartą na TCP.
W nano znaleziono lukę, która występuje w środowiskach z luźnymi ustawieniami umask. Lokalny atakujący może wykorzystać nieprawidłowe uprawnienia katalogu `~/.local`, co pozwala na wstrzyknięcie złośliwego launcher'a `.desktop`.
W libxslt w wersji 1.1.29 i wcześniejszych funkcja EXSLT math.random nie była inicjowana z losowym ziarnem podczas uruchamiania, co mogło prowadzić do przewidywalnych wyników jej użycia.
W OpenSSH 7.9, akceptowanie i wyświetlanie dowolnego wyjścia stderr z serwera umożliwia złośliwemu serwerowi (lub atakującemu typu Man-in-The-Middle) manipulowanie wyjściem klienta. Może to być wykorzystane do ukrywania dodatkowych plików przesyłanych podczas transferu.
W bibliotece libtasn1 w wersji v4.20.0 występuje przepełnienie bufora na stosie. Funkcja nie weryfikuje rozmiaru danych wejściowych, co prowadzi do przepełnienia bufora w asn1_expend_octet_string.
Problem z ujawnieniem informacji w funkcji zipfileInflate w rozszerzeniu zipfile w SQLite w wersji 3.51.1 i wcześniejszych pozwala atakującym na uzyskanie pamięci sterty poprzez dostarczenie spreparowanego pliku ZIP.
W wersji 2.3.2 biblioteki S-Lang odkryto błąd segmentacji w funkcji fixup_tgetstr(). Może to prowadzić do nieoczekiwanego zachowania aplikacji korzystających z tej biblioteki.
W wersji 2.3.2 biblioteki S-Lang odkryto wyjątek arytmetyczny w funkcji tt_sprintf(). Może to prowadzić do nieprzewidzianego zachowania aplikacji korzystających z tej biblioteki.
Projekt wyjaśnił, że dokumentacja była niepoprawna i że funkcja pkgutil.get_data() ma ten sam model bezpieczeństwa co open(). Dokumentacja została zaktualizowana, aby wyjaśnić ten punkt, co oznacza, że nie ma podatności w tej funkcji, jeśli przestrzegany jest zamierzony model bezpieczeństwa.
Protobuf umożliwia zdalnym, uwierzytelnionym atakującym spowodowanie przepełnienia bufora w stercie. Atak ten może prowadzić do nieautoryzowanego dostępu do pamięci i potencjalnego wykonania złośliwego kodu.
Podatność CVE-2016-2568 dotyczy narzędzia pkexec, które przy użyciu opcji --user nonpriv pozwala lokalnym użytkownikom na ucieczkę do sesji nadrzędnej poprzez spreparowane wywołanie ioctl TIOCSTI, co umożliwia wprowadzenie znaków do bufora wejściowego terminala.
Podatność typu przepełnienie bufora w libpng w wersjach 1.6.43-1.6.46 umożliwia lokalnemu atakującemu spowodowanie odmowy usługi za pomocą funkcji png_create_read_struct().

