Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W jądrze Linux w sterowniku DRBD wykryto brak równowagi w wywołaniach RCU w funkcji drbd_adm_dump_devices(). Funkcja wywołuje rcu_read_unlock() bez wcześniejszego wywołania rcu_read_lock(), co może prowadzić do nieprawidłowego działania mechanizmu RCU.
W jądrze Linux wykryto podatność w module dm log, gdzie zmienna region_count typu unsigned int (32-bit) może przepełnić się podczas obliczeń z użyciem dm_sector_div_up() zwracającej sector_t (64-bit). Prowadzi to do alokacji zbyt małych buforów pamięci i zapisów poza zakresem sterty jądra.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie frappe.ui.Tree.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niebezpieczną ewaluacją danych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w panelu Powiadomienia > Wydarzenia.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie MultiSelectDialog.
W frameworku Frappe w wersji 17.0.0-dev występuje podatność typu Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem niezaufanego wejścia w rendererze nagłówka pulpitu formularza.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze breadcrumb dla widoku plików.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze ikon pulpitu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na refleksyjny atak Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie widoku dashboardu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w funkcji frappe.get_avatar.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS). Uwierzytelniony atakujący z dostępem do zapisu w Auto Repeat może wprowadzić HTML/JavaScript w reference_document, co prowadzi do wykonania skryptu po otwarciu formularza Auto Repeat przez użytkowników.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika przed generowaniem wyjścia HTML w komponencie Audit Trail.
W produkcie OpenText Access Manager w wersjach od 5.1 do 5.1.2 występuje podatność na atak typu Cross-Site Scripting (XSS) spowodowana nieprawidłowym neutralizowaniem danych wejściowych podczas generowania stron internetowych. Umożliwia to atakującemu wstrzyknięcie złośliwego kodu JavaScript do przeglądarki ofiary.
Wtyczka Zowe zDevOps dla Jenkinsa w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych nie sprawdza poprawnie uprawnień, co pozwala atakującym z uprawnieniem Overall/Read na łączenie się z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkinsie.
Podatność CSRF w Jenkins Zowe zDevOps Plugin w wersji 1.1.3.50.ve350c9b_450b_1 i wcześniejszych umożliwia atakującemu połączenie z dowolnym adresem URL przy użyciu identyfikatorów poświadczeń uzyskanych inną metodą, co prowadzi do przechwycenia poświadczeń przechowywanych w Jenkins.
Wtyczka Assembla w Jenkinsie w wersji 1.4 i wcześniejszych zawiera podatność typu CSRF, która umożliwia atakującym łączenie się z określonym przez nich adresem URL, używając podanego przez nich nazwy użytkownika i hasła.
Wtyczka Assembla dla Jenkinsa w wersji 1.4 i wcześniejszych nie sprawdza odpowiednich uprawnień, co pozwala atakującym z uprawnieniami Overall/Read na łączenie się z adresem URL wskazanym przez atakującego przy użyciu podanej przez niego nazwy użytkownika i hasła.
Wtyczka Jenkins FitNesse w wersji 1.36 i wcześniejszych przechowuje hasła w postaci niezaszyfrowanej w plikach konfiguracyjnych zadań (config.xml) na kontrolerze Jenkinsa. Hasła te mogą być odczytane przez użytkowników posiadających uprawnienia Extended Read lub dostęp do systemu plików kontrolera.

