Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Klient HTTP/1.1 biblioteki Undici jest podatny na zatrucie kolejki odpowiedzi na ponownie używanych gniazdach keep-alive. Złośliwy serwer może wstrzyknąć niechcianą odpowiedź HTTP/1.1 na bezczynne gniazdo, co powoduje, że odpowiedzi są dostarczane do niewłaściwych żądań.
snes9x w wersji 1.63 pozwala na zapis poza granicami pamięci oraz powoduje odmowę usługi poprzez spreparowany plik .ups.
Podatność w bibliotece undici polega na nieprawidłowym parsowaniu atrybutu SameSite w nagłówkach Set-Cookie. Biblioteka akceptuje dowolną wartość zawierającą podciąg 'Strict', 'Lax' lub 'None', zamiast wymaganego przez RFC 6265 dokładnego dopasowania bez względu na wielkość liter. Może to prowadzić do przypisania słabszej polityki SameSite, np. wartość 'NoneOfYourBusiness' jest interpretowana jako 'None' (najbardziej permisywne ustawienie).
Podatność SQL Injection w Dell PowerFlex Manager w wersjach przed 5.1.0.1 umożliwia atakującemu o niskich uprawnieniach z dostępem do sieci sąsiedniej potencjalne wykorzystanie luki, co może prowadzić do ujawnienia poufnych informacji z bazy danych.
Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przekonał użytkownika do wykonania określonych gestów interfejsu użytkownika, wyciek danych między źródłami za pomocą spreparowanej strony HTML.
W dostawcy kontaktów istnieje możliwość uzyskania dostępu do numeru telefonu i powiązanych metadanych przychodzącego połączenia z powodu braku sprawdzenia uprawnień. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
Podatność w HCL iControl wynika z nieodpowiedniego czasu wygaśnięcia sesji. Aplikacja internetowa nie kończy automatycznie sesji użytkownika po okresie bezczynności.
Podatność w produkcie Oracle VM VirtualBox (komponent: urządzenie VMSVGA) pozwala na łatwe wykorzystanie przez atakującego z wysokimi uprawnieniami, który ma dostęp do infrastruktury, w której działa Oracle VM VirtualBox. Ataki mogą znacząco wpłynąć na dodatkowe produkty, prowadząc do nieautoryzowanego dostępu do danych.
Podatność w produkcie Oracle VM VirtualBox (komponent: Core) w wersji 7.2.8. Umożliwia łatwe wykorzystanie przez atakującego z wysokimi uprawnieniami, który ma dostęp do infrastruktury, gdzie działa Oracle VM VirtualBox, co może prowadzić do kompromitacji tego oprogramowania.
Podatność w produkcie Oracle VM VirtualBox (komponent: urządzenie VMSVGA) umożliwia atakującemu z wysokimi uprawnieniami, który ma dostęp do infrastruktury, w której działa Oracle VM VirtualBox, kompromitację tego oprogramowania. Ataki mogą znacząco wpłynąć na dodatkowe produkty, prowadząc do nieautoryzowanego dostępu do danych.
Podatność w produkcie Oracle VM VirtualBox (komponent: urządzenie VMSVGA) pozwala na łatwe wykorzystanie przez atakującego z wysokimi uprawnieniami, który ma dostęp do infrastruktury, w której działa Oracle VM VirtualBox. Ataki mogą znacząco wpłynąć na dodatkowe produkty.
W aplikacji Camera występuje możliwe nieautoryzowane uzyskanie dostępu do zdjęć z powodu braku sprawdzenia uprawnień. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W keymint występuje możliwe obejście uprawnień spowodowane błędem logicznym w kodzie. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W funkcji iavb_parse_key_data w pliku avb_rsa.c występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do lokalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W funkcji PostWipeData w pliku recovery_ui.cpp występuje możliwy problem z trwałością danych po przywróceniu ustawień fabrycznych z powodu błędu logicznego w kodzie. Może to prowadzić do ujawnienia lokalnych informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W RtcpChunk::decodeRtcpChunk występuje możliwe odczytanie danych poza przydzielonym buforem z powodu przepełnienia bufora na stercie. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W RtcpByePacket::decodeByePacket występuje możliwa luka z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W implementacji IGMP dla IPv4 w systemie Zephyr występuje podatność use-after-free. Funkcja igmp_send() odczytuje wskaźnik interfejsu sieciowego z pakietu po jego wysłaniu, co może prowadzić do odczytu zwolnionej pamięci. Problem dotyczy wersji od v2.6.0 do v4.4.0.
OliveTin w wersjach 3000.0.0 i wcześniejszych umożliwia dostęp do predefiniowanych poleceń powłoki z interfejsu webowego. Punkt końcowy ValidateArgumentType RPC nie wykonuje żadnych kontroli uwierzytelniania ani autoryzacji, co pozwala nieautoryzowanym użytkownikom na enumerację identyfikatorów powiązań akcji i ich konfiguracji argumentów.
W urządzeniu Intelbras iNVU 7016 FT 3.004.00IB000.0.T z dnia 2025-09-26 zidentyfikowano lukę, która umożliwia atak typu path traversal poprzez manipulację plikiem /RPC2_Loadfile/syslog/ w interfejsie webowym. Atak można przeprowadzić zdalnie.

