Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-43414
Krytyczne

W jądrze Linux w sterowniku SCSI qla2xxx wykryto podwójne zwolnienie struktury fcport. Funkcja qla2x00_els_dcmd_sp_free() zwalnia fcport, a następnie ponowne wywołanie kref_put() prowadzi do drugiego zwolnienia, co może skutkować uszkodzeniem pamięci.

CVE-2026-43402
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy nieprawidłowego zarządzania ścieżkami zakończenia wątków jądra, co prowadzi do problemu use-after-free. Problem został zgłoszony podczas testów KUnit, gdzie wystąpiły awarie związane z uszkodzonymi wskaźnikami funkcji zwrotnych RCU.

CVE-2026-43383
Krytyczne

W jądrze Linuxa naprawiono podatność związaną z porównywaniem MAC w protokole tcp-md5, aby zapobiec atakom czasowym.

CVE-2026-43379
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy funkcji smb_lazy_parent_lease_break_close(). Wskazany wskaźnik opinfo jest używany po zwolnieniu blokady RCU, co prowadzi do warunków wyścigu i potencjalnego wykorzystania po zwolnieniu pamięci.

CVE-2026-43376
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność w ksmbd, która polega na błędzie use-after-free związanym z natychmiastowym zwalnianiem pamięci struktury oplock_info. Problem ten występuje, gdy wskaźnik jest unieważniany bez opóźnienia w okresie łaski RCU, co pozwala na dostęp do już zwolnionej pamięci.

CVE-2026-41588
Krytyczne

RELATE to pakiet kursów oparty na sieci. Przed poprawką 2f68e16 istniała podatność na atak czasowy w pliku course/auth.py — check_sign_in_key().

CVE-2026-41583
Krytyczne

ZEBRA, węzeł Zcash napisany w Rust, przed wersją 4.3.1 zebrad i 5.0.2 zebra-script, nieprawidłowo walidował regułę konsensusu dotyczącą typów hash dla transakcji V5, co mogło prowadzić do podziału konsensusu. Dodatkowo, dla transakcji V4, użyto błędnego typu hash, co również mogło skutkować podziałem konsensusu.

CVE-2026-41574
Krytyczne

Nhost, alternatywa dla Firebase, przed wersją 0.49.1 automatycznie łączył tożsamość OAuth z istniejącym kontem Nhost, gdy adresy e-mail się zgadzały. Problem polegał na tym, że niektóre adaptery dostawców niepoprawnie wypełniały pole weryfikacji e-maila, co mogło prowadzić do nieautoryzowanego dostępu.

CVE-2026-37431
Krytyczne

System zarządzania salonem piękności w wersji 1.1 zawiera podatność na wstrzyknięcie SQL poprzez parametr aptnumber w punkcie końcowym /appointment-detail.php. Ta podatność umożliwia atakującym dostęp do wrażliwych informacji z bazy danych za pomocą spreparowanego zapytania SQL.

CVE-2026-44336
Krytyczne

PraisonAI przed wersją 4.6.34 ma lukę w serwerze MCP, która pozwala atakującemu na zapisanie plików poza katalogiem reguł. Dzięki temu możliwe jest wykonanie dowolnego kodu w kontekście użytkownika.

CVE-2026-44335
Krytyczne

PraisonAI to system zespołów wieloagentowych. Przed wersją 1.6.32 logika sprawdzania URL miała błąd logiczny, który mógł być obejściem przez atakujących, prowadząc do ataków SSRF.

CVE-2026-44128
Krytyczne

SEPPmail Secure Email Gateway przed wersją 15.0.2.1 umożliwia zdalne wykonanie kodu przez nieautoryzowanych użytkowników w nowym interfejsie GINA, ponieważ jeden z punktów końcowych przekazuje dane kontrolowane przez atakującego do funkcji eval w Perlu.

CVE-2026-44126
Krytyczne

SEPPmail Secure Email Gateway przed wersją 15.0.4 niebezpiecznie deserializuje nieufne dane, co może umożliwić nieautoryzowanym zdalnym atakującym wykonanie kodu poprzez spreparowany obiekt zserializowany.

CVE-2026-44125
Krytyczne

SEPPmail Secure Email Gateway przed wersją 15.0.4 nie wymusza kontroli autoryzacji dla wielu punktów końcowych w nowym interfejsie GINA, co pozwala nieautoryzowanym atakującym zdalnym na dostęp do funkcji, które powinny wymagać ważnej sesji.

CVE-2026-43341
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która pozwala na przepełnienie bufora w funkcji ioam6_fill_trace_data(). Problem wynika z niewłaściwego przechowywania długości schematu, co prowadzi do pominięcia kontroli dostępnego miejsca w buforze śledzenia.

CVE-2026-41512
Krytyczne

W wersjach od 1.0.0 do przed 1.4.1 w narzędziu ai-scanner występuje podatność na zdalne wykonanie kodu poprzez wstrzyknięcie JavaScript w `BrowserAutomation::PlaywrightService`. Problem został naprawiony w wersji 1.4.1.

CVE-2026-41509
Krytyczne

Implementacja CROSS zawiera odniesienia oraz zoptymalizowane implementacje algorytmu podpisu post-kwantowego CROSS. Przed poprawką fc6b7e7 występował błąd przepełnienia bufora w funkcji crypto_sign_open() spowodowany niedoborem wartości całkowitej mlen.

CVE-2026-41507
Krytyczne

math-codegen generuje kod z wyrażeń matematycznych. Przed wersją 0.4.3, zawartość literałów stringowych przekazywanych do cg.parse() była wstrzykiwana bezpośrednio do ciała nowej funkcji bez sanitizacji, co umożliwiało atakującym wykonywanie dowolnych poleceń systemowych.

CVE-2026-41497
Krytyczne

PraisonAI to system wieloagentowy, który przed wersją 4.6.9 miał lukę w obsłudze komend MCP. Brakowało listy dozwolonych komend oraz walidacji argumentów w funkcji parse_mcp_command(), co pozwalało na wykonanie dowolnych programów, takich jak bash czy python, z flagami wykonania kodu.

CVE-2026-25199
Krytyczne

Rozszerzenie Proxmox dla Apache CloudStack umożliwia nieautoryzowany dostęp do instancji należących do innych najemców. Problem wynika z niewłaściwego użycia ustawienia instancji, co pozwala atakującym na modyfikację i uzyskanie kontroli nad maszynami wirtualnymi innych użytkowników.

PoprzedniaStrona 85 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS