Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Osoba z dostępem do komputera Mac może być w stanie obejść ekran logowania. Problem z konsekwencją został rozwiązany poprzez poprawę obsługi stanu. Ta podatność została naprawiona w macOS Monterey 12.4.
Fission to framework serverless, który działa w Kubernetes, miał lukę w walidacji ścieżek przed wersją 1.25.0. Funkcja SanitizeFilePath nie sprawdzała poprawnie granic katalogów, co pozwalało na dostęp do niebezpiecznych katalogów.
Crawlee to biblioteka do skrobania stron internetowych i automatyzacji przeglądarek. W wersjach od 1.0.0 do przed 1.7.0, Crawlee jest podatna na atak SSRF poprzez URL-e pochodzące z mapy strony. Problem został naprawiony w wersji 1.7.0.
Ghidra w wersjach przed 12.1 zawiera podatność na przejście ścieżki w SameDirDebugInfoProvider, która nie weryfikuje nazw plików z sekcji .gnu_debuglink binariów ELF przed konstruowaniem ścieżek plików. Atakujący mogą stworzyć złośliwe binaria ELF z sekwencjami przejścia, aby badać istnienie systemu plików i wyciekać hashe CRC32 dowolnych plików podczas automatycznej analizy DWARF.
Ghidra przed wersją 11.2 zawiera podatność typu use after free w backendzie Sleigh, spowodowaną nieokreśloną kolejnością inicjalizacji statycznej singletonów SleighArchitecture::translators i XmlArchitectureCapability. Atakujący mogą wywołać nieskończoną pętlę lub odmowę usługi podczas zamykania aplikacji, wykorzystując niebezpieczną kolejność destrukcji, co prowadzi do iteracji po zwolnionej pamięci.
W podatności CVE-2026-11859 występuje luka wstrzykiwania HTML w e-mailach 'fetch links' wysyłanych przez Thinkst Applied Research Canarytokens, co umożliwia manipulację interfejsem oraz ataki Cross-Site Scripting (XSS) w klientach e-mailowych renderujących wiadomości HTML.
Wtyczka Store Locator dla WordPressa przed wersją 1.6.6 nie sanitizuje i nie ucieka z jednego ze swoich ustawień przed jego zapisaniem i wyświetleniem na stronie administracyjnej, co pozwala użytkownikom z wysokimi uprawnieniami, takim jak administratorzy, na przeprowadzenie ataków typu Stored Cross-Site Scripting.
W niektórych produktach Dahua odkryto podatność, która pozwala atakującemu na uzyskanie certyfikatu CA root urządzenia. Jeśli ten certyfikat CA jest zainstalowany i ufany w systemach klienckich, atakujący może wystawiać fałszywe certyfikaty, które będą zaufane przez te systemy.
Podatność CVE-2025-59382 została naprawiona w określonej wersji oprogramowania. Systemy QTS, QuTS hero oraz QuTScloud nie są nią dotknięte.
Frappe Learning Management System (LMS) przed wersją 2.53.0 pozwalał uwierzytelnionym użytkownikom na wprowadzenie specjalnie przygotowanej treści w edytowalnych polach, co mogło prowadzić do przekierowania przeglądarek odwiedzających na wybrany przez atakującego adres URL.
Podatność w Spring Security SAML umożliwia atakującemu odszyfrowanie odpowiedzi SAML oraz elementów żądań i odpowiedzi wylogowania bez wymagania ważnego podpisu. Atakujący może wykorzystać dostawcę usługi jako wyrocznię deszyfrującą.
Wersje Adobe Experience Manager 6.5.24, LTS SP1, 2026.04 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do obejścia zabezpieczeń. Atakujący o niskich uprawnieniach może wykorzystać tę podatność, aby uzyskać nieautoryzowany dostęp do zapisu.
Wersje Adobe Experience Manager 6.5.24, LTS SP1, 2026.04 i wcześniejsze są podatne na lukę w walidacji wejścia, co może prowadzić do obejścia zabezpieczeń. Atakujący o niskich uprawnieniach może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu do zapisu.
Nieprawidłowa walidacja danych wejściowych w usłudze Microsoft Azure Attestation oraz w usłudze Device Health Attestation umożliwia autoryzowanemu atakującemu przeprowadzenie ataku spoofingowego przy użyciu ataku fizycznego.
W Microsoft Office występuje podatność na odczyt poza granicami, która pozwala nieautoryzowanemu atakującemu na ujawnienie informacji lokalnie.
W Microsoft Office Word występuje przepełnienie bufora oparte na stercie, które może pozwolić nieautoryzowanemu atakującemu na ujawnienie informacji lokalnie.
W Microsoft Office Excel występuje awaria mechanizmu ochrony, która pozwala nieautoryzowanemu atakującemu na lokalne obejście funkcji zabezpieczeń.
W Microsoft Office Excel występuje podatność na odczyt poza zakresem, która pozwala nieautoryzowanemu atakującemu na ujawnienie informacji przez sieć.
Podatność występuje w funkcji EVP_PKEY_derive_set_peer(), która nieprawidłowo sprawdza przynależność klucza peer do podgrupy, gdy używany jest klucz DHX (X9.42). Złośliwy peer może wykorzystać tę lukę do odzyskania prywatnego klucza ofiary po niewielkiej liczbie prób wymiany kluczy.
Funkcje CMS_decrypt i PKCS7_decrypt są podatne na atak typu Bleichenbacher, gdy atakujący może dostarczyć wiadomości CMS lub S/MIME oraz obserwować kod błędu i/lub wynik deszyfrowania. Atak ten umożliwia wykorzystanie podatnej aplikacji ofiary do deszyfrowania lub podpisywania wiadomości przy użyciu prywatnego klucza RSA ofiary.

