Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w DNG SDK w wersjach 1.7.1 2536 i wcześniejszych wynika z odczytu poza dozwolonym zakresem pamięci, co może prowadzić do ujawnienia wrażliwych danych. Atakujący może wykorzystać tę lukę do uzyskania dostępu do poufnych informacji, ale wymaga to interakcji użytkownika, który musi otworzyć złośliwy plik.
Podatność w DNG SDK w wersjach 1.7.1 2536 i wcześniejszych wynika z odczytu poza dozwolonym zakresem pamięci, co może prowadzić do ujawnienia wrażliwych danych. Atakujący może wykorzystać tę lukę do uzyskania dostępu do poufnych informacji, ale wymaga to interakcji użytkownika, który musi otworzyć złośliwy plik.
Biblioteka stable-diffusion.cpp, używana do uruchamiania modeli dyfuzji, ma podatność na błąd odczytu poza zakresem w wersjach przed master-584-0a7ae07. Problem ten wynika z niewłaściwego sprawdzania długości wejścia podczas analizy plików .ckpt, co może prowadzić do odczytów poza końcem bufora metadanych.
Podatność CVE-2026-12003 dotyczy sposobu, w jaki Python obsługuje zmienną VPATH podczas budowy z drzewa źródłowego. W przypadku systemu Windows, VPATH może wskazywać na lokalizację, która znajduje się poza katalogiem instalacyjnym Pythona, co może umożliwić użytkownikom o niskich uprawnieniach tworzenie plików, które mogą być wykorzystane do uzyskania dostępu do alternatywnego folderu `Lib`.
PowerStore zawiera podatność na przechowywane ataki typu Cross-Site Scripting w PowerStore Manager. Zdalny, uwierzytelniony, niskoprawny aktor złośliwy mógłby potencjalnie wykorzystać tę podatność, co mogłoby prowadzić do wykonania skryptu w przeglądarce klienta.
Dell Peripheral Manager w wersjach od 1.5.1 do 1.7.2 zawiera podatność na niekontrolowany element ścieżki wyszukiwania. Atakujący może wykorzystać tę podatność do załadowania złośliwego pliku wykonywalnego, co prowadzi do wykonania dowolnego kodu.
W kontrolerach CompactLogix występuje problem z ujawnieniem wrażliwych informacji. Serwer WWW kontrolera ujawnia identyfikatory połączeń CIP na stronie diagnostycznej, co jest dostępne dla każdego nieautoryzowanego użytkownika w sieci.
W urządzeniach NPort występuje podatność na atak typu denial-of-service z powodu niewłaściwej kontroli dostępu do portu komend. Interfejs komend nie weryfikuje poprawnie, czy nadawca jest powiązany z ważną sesją portu danych przed zaakceptowaniem komend sygnału przerwania.
W implementacji IPv6 Neighbor Discovery w Zephyrze (funkcje net_ipv6_send_na, net_ipv6_send_ns, net_ipv6_send_rs) występuje podatność use-after-free. Po pomyślnym wysłaniu pakietu przez net_send_data, stos sieciowy zwalnia referencję do pakietu, a następnie kod statystyk próbuje odczytać interfejs z już zwolnionego bloku pamięci. Prowadzi to do naruszenia bezpieczeństwa pamięci (CWE-416).
W stosie IPv4 systemu Zephyr wykryto podatność use-after-free w funkcji icmpv4_handle_echo_request(). Po wysłaniu odpowiedzi ICMP Echo Reply, kod odwołuje się do struktury net_pkt, która została już zwolniona, co może prowadzić do odczytu z nieprawidłowego obszaru pamięci. Problem występuje przy włączonej statystyce ICMP (CONFIG_NET_STATISTICS_ICMP) i może być wykorzystany zdalnie przez wysłanie pinga.
W stosie sieciowym Zephyra w pliku icmpv6.c występuje podatność use-after-free. Po wysłaniu pakietu przez net_try_send_data() funkcje icmpv6_handle_echo_request() i net_icmpv6_send_error() odwołują się do zwolnionego pakietu, co może prowadzić do awarii systemu lub potencjalnego uszkodzenia pamięci.
W stosie sieciowym Zephyr wykryto podatność use-after-free w funkcji mld_send() dla IPv6 MLD. Po wysłaniu pakietu przez net_send_data() następuje odczyt zwolnionej pamięci, co może prowadzić do awarii lub uszkodzenia pamięci. Problem jest zdalnie wywoływalny bez uwierzytelnienia poprzez wysłanie zapytania MLDv2.
Dell Peripheral Manager w wersjach przed 1.7.3 zawiera podatność na niekontrolowany element ścieżki wyszukiwania. Atakujący może wykorzystać tę podatność do załadowania złośliwego pliku DLL, co prowadzi do wykonania dowolnego kodu.
W osTicket v1.18.2 zidentyfikowano podatność na fałszowanie sesji, która umożliwia atakującemu przejęcie konta ofiary poprzez utrzymanie aktywnego początkowego identyfikatora sesji (OSTSESSID) po pomyślnym logowaniu.
Firefox dla iOS zachowywał ciasteczka ustawione w początkowym żądaniu PDF podczas przekierowań HTTP między różnymi źródłami, co pozwalało złośliwej stronie na wstrzykiwanie dowolnych ciasteczek do żądań do niezwiązanej domeny docelowej.
Firefox dla iOS używał częściowego dopasowania domen przy dołączaniu ciasteczek do żądań PDF, co pozwalało złośliwej stronie na suffixie domeny na otrzymywanie ciasteczek należących do docelowej strony.
Błąd w warunkach granicznych w komponencie internacjonalizacji. Podatność ta została naprawiona w wersjach Firefox ESR 140.12, Firefox ESR 115.37 oraz Thunderbird 140.12.
W Thunderbird ESR 140.12 naprawiono błąd bezpieczeństwa pamięci. Podatność została również załatana w Firefox ESR 140.12 i Thunderbird 140.12.
Podatność typu denial-of-service w komponencie Graphics: ImageLib. Została naprawiona w wersjach Firefox 152, Firefox ESR 140.12, Firefox ESR 115.37, Thunderbird 152 oraz Thunderbird 140.12.
Problem z fałszowaniem w komponencie DOM: Core i HTML. Ta podatność została naprawiona w Firefoxie 152 i Thunderbirdu 152.

