CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-35192
Low

An issue was discovered in versions 6.0 before 6.0.5 and 5.2 before 5.2.14 regarding response headers that do not vary on cookies if a session is not modified, while `SESSION_SAVE_EVERY_REQUEST` is set to `True`. A remote attacker can steal a user's session after that user visits a cached public page.

GHSA-g7r4-m6w7-qqqr
Low

The development server contains a path traversal vulnerability on Windows when serving files from `servedir`. Due to the use of `path.Clean()` (which only normalizes forward-slash `/` separators) instead of a Windows-aware path normalization function, it is possible to craft malicious requests.

CVE-2026-6907
Low

An issue was discovered in versions 6.0 before 6.0.5 and 5.2 before 5.2.14 in `django.middleware.cache.UpdateCacheMiddleware`, which erroneously caches requests where the `Vary` header contained an asterisk (`'*'`). This can lead to private data being stored and served.

CVE-2024-54661
Low

W skrypcie readline.sh w socat przed wersją 1.8.0.2 występuje zależność od pliku /tmp/$USER/stderr2. Może to prowadzić do nieautoryzowanego dostępu do danych użytkownika.

CVE-2007-2768
Low

OpenSSH, przy użyciu OPIE (Jednorazowe Hasła w Wszystkim) dla PAM, umożliwia zdalnym atakującym ustalenie istnienia określonych kont użytkowników. Odpowiedź jest różna w zależności od tego, czy konto użytkownika istnieje i jest skonfigurowane do używania jednorazowych haseł (OTP).

CVE-2020-24352
Low

W QEMU w wersji do 5.1.0 odkryto problem związany z dostępem do pamięci poza przydzielonym zakresem. Błąd ten występuje w procedurze ati_2d_blt() podczas obsługi operacji zapisu MMIO przez funkcję zwrotną ati_mm_write().

CVE-2008-3234
Low

Podatność w OpenSSH 4 na Debian GNU/Linux umożliwia zdalnym, uwierzytelnionym użytkownikom uzyskanie dostępu do dowolnych ról SELinux poprzez dodanie sekwencji :/ (dwukropek ukośnik) oraz nazwy roli do nazwy użytkownika.

CVE-2024-5138
Low

Komponent snapctl w snapd pozwala na interakcję z demonem snapd, umożliwiając ograniczonemu snapowi wykonywanie pewnych uprzywilejowanych działań. Wykryto, że snapctl nieprawidłowo analizował argumenty wiersza poleceń, co pozwalało nieuprzywilejowanemu użytkownikowi na wywołanie autoryzowanej akcji w imieniu snapa.

CVE-2022-48064
Low

W wersjach GNU Binutils przed 2.40 odkryto podatność na nadmierne zużycie pamięci w funkcji bfd_dwarf2_find_nearest_line_with_alt w pliku dwarf2.c. Atakujący może dostarczyć spreparowany plik ELF, co może prowadzić do ataku DNS.

CVE-2025-68160
Low

Podatność polega na możliwości zapisania dużych danych bez nowej linii do łańcucha BIO przy użyciu filtra buforowania linii, co może prowadzić do zapisu poza przydzieloną pamięcią w przypadku, gdy następny BIO wykonuje krótkie zapisy.

CVE-2023-1386
Low

Wykryto lukę w implementacji systemu plików 9p passthrough (9pfs) w QEMU. Gdy lokalny użytkownik w gości zapisuje plik wykonywalny z ustawieniami SUID lub SGID, żadne z tych uprawnień nie są poprawnie usuwane.

CVE-2024-25269
Low

libheif w wersjach do 1.17.6 zawiera wyciek pamięci w funkcji JpegEncoder::Encode. Ta wada umożliwia atakującemu przeprowadzenie ataku typu denial of service.

CVE-2025-69418
Low

Podatność występuje przy bezpośrednim używaniu niskopoziomowego API OCB z AES-NI lub innymi przyspieszonymi sprzętowo ścieżkami kodowymi. Wejścia, których długość nie jest wielokrotnością 16 bajtów, mogą pozostawić ostatni częściowy blok niezaszyfrowany i nieautoryzowany.

CVE-2025-69420
Low

W kodzie weryfikacji odpowiedzi TimeStamp występuje podatność typu confusion, w której członek unii ASN1_TYPE jest dostępny bez wcześniejszej walidacji typu. Może to prowadzić do dereferencji nieprawidłowego lub NULL wskaźnika podczas przetwarzania źle sformatowanego pliku odpowiedzi TimeStamp.

CVE-2026-1757
Low

W narzędziu xmllint, będącym częścią projektu libxml2, zidentyfikowano błąd w interaktywnym powłoce, gdzie pamięć przydzielona dla danych wejściowych użytkownika nie jest prawidłowo zwalniana w określonych warunkach. Gdy użytkownik wprowadza dane składające się wyłącznie z białych znaków, program pomija wykonanie polecenia, ale nie zwalnia pamięci.

CVE-2022-32743
Low

Samba nie weryfikuje poprawności atrybutu Validated-DNS-Host-Name dla atrybutu dNSHostName, co może pozwolić nieuprzywilejowanym użytkownikom na jego zapisanie.

CVE-2022-1615
Low

W Samba, funkcja GnuTLS gnutls_rnd() może zakończyć się niepowodzeniem, co prowadzi do generowania przewidywalnych wartości losowych. To może wpłynąć na bezpieczeństwo aplikacji korzystających z tej funkcji.

CVE-2019-9543
Low

W Poppler 0.74.0 odkryto problem związany z rekurencyjnym wywołaniem funkcji w JBIG2Stream::readGenericBitmap(). Może to zostać wywołane przez wysłanie spreparowanego pliku PDF do binarnego programu pdfseparate, co prowadzi do awarii systemu (błąd segmentacji).

CVE-2019-6988
Low

W OpenJPEG 2.3.0 odkryto problem, który pozwala zdalnym atakującym na wywołanie odmowy usługi poprzez próbę nadmiernej alokacji pamięci w funkcji opj_calloc. Problem ten występuje podczas wywołania z opj_tcd_init_tile.

CVE-2026-42040
Low

Axios to klient HTTP oparty na obietnicach dla przeglądarki i Node.js. W wersjach przed 1.15.1 i 0.31.1 funkcja encode() w pliku lib/helpers/AxiosURLSearchParams.js zawiera mapowanie znaków, które odwraca bezpieczne kodowanie procentowe bajtów null.

PreviousPage 59 of 64Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS