CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed mógł być obejściowy poprzez łańcuchowanie ekspansji zmiennych bash (${var@P}), co pozwalało na wykonanie dowolnych poleceń pod prefiksem dozwolonych poleceń. Ta podatność została naprawiona w wersji 0.229.0.
Podatność w Calico występuje, gdy jest skonfigurowany z wtyczką Azure IPAM, co prowadzi do modyfikacji konfiguracji CNI i logowania jej w pliku cni.log. Logi te zawierają wrażliwe dane, takie jak tokeny i klucze, w formie niezaszyfrowanej.
W Calico, kontener inicjalizacyjny install-cni loguje skonfigurowany CNI do standardowego wyjścia. Gdy szablon konfiguracji używa miejsca na token __SERVICEACCOUNT_TOKEN__, instalator podstawia aktywny token ServiceAccount, co naraża go na dostęp dla każdego uwierzytelnionego użytkownika z uprawnieniami do podglądania logów w przestrzeni nazw z calico-node.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.1, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając analizy dużych metadanych XMP z wieloma zbędnymi elementami.
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.8.0 do 2.12.1, podczas weryfikacji odłączonych tokenów JWS z użyciem opcji unencoded-payload, PyJWT wykonuje dekodowanie Base64URL segmentu ładunku, co może prowadzić do ataku DoS.
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach od 2.9.0 do 2.12.1 występuje luka, która pozwala na obejście listy dozwolonych algorytmów weryfikacji, gdy wywoływane są funkcje jwt.decode() lub jwt.decode_complete() z kluczem PyJWK.
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach przed 2.13.0, PyJWKClient przekazuje argument uri bezpośrednio do urllib.request.urlopen(), co pozwala na niekontrolowane pobieranie zasobów z różnych schematów, co może prowadzić do ataków SSRF oraz fałszowania tokenów.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do dużego zużycia pamięci, wymagając ekstrakcji tekstu w trybie układu z dużymi przesunięciami znaków.
bzip2 zawiera błąd off-by-one w narzędziu bzip2recover. Podczas przetwarzania specjalnie przygotowanego pliku, aplikacja wykonuje zapis poza granicami globalnego bufora, co prowadzi do uszkodzenia pamięci i awarii (denial of service).
A vulnerability exists in Apache Artemis that allows users with permissions to send or consume messages on an address to modify the routing-type of that address without having the createAddress permission. Users can send or consume messages with an unsupported routing-type, which should be rejected.
A vulnerability has been identified in the Linux kernel related to a runtime PM reference count leak in the i2c module for the ov5647 camera. The issue involves three control cases that do not call pm_runtime_put(), leading to reference count leaks.
A vulnerability related to the Xbox Remote controller has been resolved in the Linux kernel, concerning the violation of DMA coherency rules. The buffer for IO must not be part of the device structure, which could lead to data integrity issues.
In the Linux kernel, a vulnerability related to the lack of checks for return values from ioremap in the saa7164_dev_setup() function has been resolved. In case of failure, already allocated PCI memory regions are released and the device is removed from the global list.
A vulnerability has been identified in the Linux kernel within the batman-adv module, specifically in the batadv_bla_purge_claims() function. The issue arises when the function encounters a claim that is in the process of being released, leading to a NULL pointer dereference.
A vulnerability has been identified in the Linux kernel within the batman-adv module, which involves leaking a reference to the backbone_gw object when failing to add a new claim to the hash.
A vulnerability has been identified in the Linux kernel related to VRAM allocation in KFD. The absence of the AMDGPU_GEM_CREATE_VRAM_CLEARED flag allowed freshly allocated VRAM to contain stale data, leading to crashes in RCCL P2P transport.
A vulnerability in the Linux kernel related to the management of USB device resource lifetimes in SPI drivers has been fixed. Memory leaks could occur when drivers were unbound without physically disconnecting devices.
A vulnerability related to SPI controller deregistration has been fixed in the Linux kernel. The issue involved not properly releasing resources like DMA before deregistering the controller during driver unbind.
A vulnerability related to SPI controller deregistration has been fixed in the Linux kernel. The issue was that the controller was not properly deregistered before releasing resources like DMA during driver unbind.
A vulnerability related to memory leak in the xe_dma_buf_init_obj() function has been fixed in the Linux kernel in case of allocation failure. On error, the previously allocated memory is not freed, which can lead to memory leaks.

