Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w implementacji DeviceBoundSessionCredentials w przeglądarce Google Chrome przed wersją 149.0.7827.197 umożliwiała zdalnemu atakującemu ominięcie polityki samego pochodzenia (same origin policy) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High).
Podatność DoS w kamerze Tapo C200 v3 wynika z nieprawidłowego obsługiwania pofragmentowanych pakietów IPv4. Nieuwierzytelniony atakujący z sąsiedztwa sieciowego może wysłać spreparowane pakiety, powodując nadmierne zużycie zasobów i niestabilność urządzenia.
W bibliotece GPAC/MP4Box przed wersją 26.02.0 wykryto podatność use-after-free w funkcji gf_filter_pid_reconfigure_task_discard w pliku filter_pid.c. Atakujący może spowodować odmowę usługi (DoS) poprzez dostarczenie spreparowanego pliku multimedialnego.
Warp to środowisko deweloperskie, które w wersjach od 0.2021.04.25.23.05.stable_00 do 0.2026.05.06.15.42.stable_01 akceptowało niezweryfikowane haki cyklu życia terminala z strumienia PTY. Atakujący mógł podszyć się pod wybrane metadane cyklu życia, co mogło prowadzić do ujawnienia wrażliwych informacji.
Aplikacja AnythingLLM przed wersją 1.13.0 na systemie Windows pozwalała na wykorzystanie zakodowanej absolutnej ścieżki do folderu dokumentów, co mogło prowadzić do uzyskania dostępu do plików poza zamierzonym katalogiem dokumentów.
Podatność w Doclingu od wersji 2.73.0 do 2.91.0 pozwala atakującym na odczyt dowolnych plików z systemu plików poprzez spreparowane dokumenty LaTeX. Brak walidacji ścieżek w komendach \includegraphics, \input i \include umożliwia sekwencje typu path traversal, co może prowadzić do wycieku poufnych danych.
Podatność w bibliotece concurrent-ruby do wersji 1.3.6 pozwala na błędne przyznanie blokady zapisu po 32 768-krotnym uzyskaniu blokady odczytu przez ten sam wątek. Mechanizm przechowuje liczniki blokad w jednej liczbie całkowitej, gdzie 15 bitów odpowiada za licznik odczytu, a bit 15 za blokadę zapisu. Po przekroczeniu tej granicy licznik odczytu zajmuje bit blokady zapisu, co powoduje, że metoda try_write_lock błędnie informuje wątek o posiadaniu blokady zapisu bez ustawienia globalnego znacznika RUNNING_WRITER.
W jądrze Linux w sterowniku DRBD wykryto brak równowagi w wywołaniach RCU w funkcji drbd_adm_dump_devices(). Funkcja wywołuje rcu_read_unlock() bez wcześniejszego wywołania rcu_read_lock(), co może prowadzić do nieprawidłowego działania mechanizmu RCU.
W jądrze Linux wykryto podatność w module dm log, gdzie zmienna region_count typu unsigned int (32-bit) może przepełnić się podczas obliczeń z użyciem dm_sector_div_up() zwracającej sector_t (64-bit). Prowadzi to do alokacji zbyt małych buforów pamięci i zapisów poza zakresem sterty jądra.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie frappe.ui.Tree.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niebezpieczną ewaluacją danych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w panelu Powiadomienia > Wydarzenia.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie MultiSelectDialog.
W frameworku Frappe w wersji 17.0.0-dev występuje podatność typu Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem niezaufanego wejścia w rendererze nagłówka pulpitu formularza.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze breadcrumb dla widoku plików.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze ikon pulpitu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na refleksyjny atak Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie widoku dashboardu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w funkcji frappe.get_avatar.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS). Uwierzytelniony atakujący z dostępem do zapisu w Auto Repeat może wprowadzić HTML/JavaScript w reference_document, co prowadzi do wykonania skryptu po otwarciu formularza Auto Repeat przez użytkowników.

