CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-44462
Medium

Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed mógł być obejściowy poprzez łańcuchowanie ekspansji zmiennych bash (${var@P}), co pozwalało na wykonanie dowolnych poleceń pod prefiksem dozwolonych poleceń. Ta podatność została naprawiona w wersji 0.229.0.

CVE-2026-41185
Medium

Podatność w Calico występuje, gdy jest skonfigurowany z wtyczką Azure IPAM, co prowadzi do modyfikacji konfiguracji CNI i logowania jej w pliku cni.log. Logi te zawierają wrażliwe dane, takie jak tokeny i klucze, w formie niezaszyfrowanej.

CVE-2026-41184
Medium

W Calico, kontener inicjalizacyjny install-cni loguje skonfigurowany CNI do standardowego wyjścia. Gdy szablon konfiguracji używa miejsca na token __SERVICEACCOUNT_TOKEN__, instalator podstawia aktywny token ServiceAccount, co naraża go na dostęp dla każdego uwierzytelnionego użytkownika z uprawnieniami do podglądania logów w przestrzeni nazw z calico-node.

CVE-2026-48735
Medium

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.1, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając analizy dużych metadanych XMP z wieloma zbędnymi elementami.

CVE-2026-48525
Medium

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.

CVE-2026-48523
Medium

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.

CVE-2026-48522
Medium

PyJWT to implementacja JSON Web Token w Pythonie. W wersjach przed 2.13.0, PyJWKClient przekazuje argument uri bezpośrednio do urllib.request.urlopen(), co pozwala na niekontrolowane pobieranie zasobów z różnych schematów, co może prowadzić do ataków SSRF oraz fałszowania tokenów.

CVE-2026-48155
Medium

pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając ekstrakcji tekstu w trybie układu z dużymi przesunięciami znaków.

CVE-2026-42250
Medium

bzip2 zawiera błąd off-by-one w narzędziu bzip2recover. Podczas przetwarzania specjalnie przygotowanego pliku, aplikacja wykonuje zapis poza granicami globalnego bufora, co prowadzi do uszkodzenia pamięci i awarii (denial of service).

CVE-2026-40914
Medium

A vulnerability exists in Apache Artemis that allows users with permissions to send or consume messages on an address to modify the routing-type of that address without having the createAddress permission. Users can send or consume messages with an unsupported routing-type, which should be rejected.

CVE-2026-46239
Medium

A vulnerability has been identified in the Linux kernel related to a runtime PM reference count leak in the i2c module for the ov5647 camera. The issue involves three control cases that do not call pm_runtime_put(), leading to reference count leaks.

CVE-2026-46236
Medium

A vulnerability related to the Xbox Remote controller has been resolved in the Linux kernel, concerning the violation of DMA coherency rules. The buffer for IO must not be part of the device structure, which could lead to data integrity issues.

CVE-2026-46235
Medium

In the Linux kernel, a vulnerability related to the lack of checks for return values from ioremap in the saa7164_dev_setup() function has been resolved. In case of failure, already allocated PCI memory regions are released and the device is removed from the global list.

CVE-2026-46233
Medium

A vulnerability has been identified in the Linux kernel within the batman-adv module, specifically in the batadv_bla_purge_claims() function. The issue arises when the function encounters a claim that is in the process of being released, leading to a NULL pointer dereference.

CVE-2026-46231
Medium

A vulnerability has been identified in the Linux kernel within the batman-adv module, which involves leaking a reference to the backbone_gw object when failing to add a new claim to the hash.

CVE-2026-46229
Medium

A vulnerability has been identified in the Linux kernel related to VRAM allocation in KFD. The absence of the AMDGPU_GEM_CREATE_VRAM_CLEARED flag allowed freshly allocated VRAM to contain stale data, leading to crashes in RCCL P2P transport.

CVE-2026-46228
Medium

A vulnerability in the Linux kernel related to the management of USB device resource lifetimes in SPI drivers has been fixed. Memory leaks could occur when drivers were unbound without physically disconnecting devices.

CVE-2026-46226
Medium

A vulnerability related to SPI controller deregistration has been fixed in the Linux kernel. The issue involved not properly releasing resources like DMA before deregistering the controller during driver unbind.

CVE-2026-46225
Medium

A vulnerability related to SPI controller deregistration has been fixed in the Linux kernel. The issue was that the controller was not properly deregistered before releasing resources like DMA during driver unbind.

CVE-2026-46224
Medium

A vulnerability related to memory leak in the xe_dma_buf_init_obj() function has been fixed in the Linux kernel in case of allocation failure. On error, the previously allocated memory is not freed, which can lead to memory leaks.

PreviousPage 209 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS