Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w produkcie Oracle VM VirtualBox (komponent: urządzenie VMSVGA) pozwala na łatwe wykorzystanie przez atakującego z wysokimi uprawnieniami, który ma dostęp do infrastruktury, w której działa Oracle VM VirtualBox. Ataki mogą prowadzić do zawieszenia lub częstych awarii Oracle VM VirtualBox.
Podatność w produkcie WebLogic Server firmy Oracle Fusion Middleware (komponent: Console) umożliwia atakującemu z wysokimi uprawnieniami i dostępem do sieci przez HTTP przejęcie serwera WebLogic. Dotknięte wersje to 14.1.2.0.0 i 15.1.1.0.0.
Podatność w produkcie Oracle Access Manager w ramach Oracle Fusion Middleware, dotycząca silnika uwierzytelniania. Umożliwia ona nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP kompromitację Oracle Access Manager.
Podatność w OpenStack Nova przed wersją 33.0.2 pozwala na ominięcie alokacji Placement podczas tworzenia instancji przez API. Serwer nie usuwa określonych danych hint, co skutkuje brakiem przypisania zasobów w Placement.
W produkcie PowerSchool Employee Access Center w wersji 23.10 wykryto podatność na ataki XSS. Polega ona na niewłaściwej neutralizacji danych wejściowych podczas generowania strony internetowej, co umożliwia wstrzyknięcie kodu JavaScript po adresie URL logowania. Wstrzyknięty kod jest następnie wykonywany przez funkcję eval() w kontekście przeglądarki użytkownika.
W Devolutions Server 2026.2.5 występuje niewłaściwa kontrola dostępu w punkcie końcowym logowania społecznościowego, co pozwala uwierzytelnionemu członkowi skarbca na enumerację metadanych logowania społecznościowego, do których nie ma uprawnień.
W Devolutions Server 2026.2.5 oraz 2026.1.21 występuje niewłaściwa kontrola dostępu, która pozwala uwierzytelnionemu użytkownikowi na dostęp do załączników poprzez duplikację folderów z dziedziczonymi uprawnieniami.
Nieprawidłowa kontrola dostępu w funkcji odkrywania kont w Devolutions Server 2026.2.5 oraz 2026.1.21 pozwala uwierzytelnionemu użytkownikowi na uzyskanie wyników skanowania odkrywania kont.
W kilku funkcjach dekodera pakietów RTCP występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W RtcpHeader::decodeRtcpHeader występuje możliwe odczytanie danych poza zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W ImsMediaBitReader::ReadByteBuffer występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W funkcji writeAocCommand w pliku AocAudioCodec.cpp występuje potencjalny problem z bezpieczeństwem pamięci z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W funkcji decodeAppPacket w pliku RtcpAppPacket.cpp występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W RtpPacket::decodePacket występuje możliwe odczytanie danych poza przydzielonym zakresem z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W Modemie występuje możliwe odczytanie danych poza dozwolonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W funkcji RtcpFbPacket::decodeRtcpFbPacket występuje możliwość odczytu poza zakresem spowodowana przepełnieniem liczby całkowitej. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych. Do wykorzystania podatności wymagana jest interakcja użytkownika.
W funkcji NrmmMsgCodec::DecodeUPUTransparentContext w pliku cn_NrmmDecoder.cpp występuje możliwe odczytanie poza granicami pamięci z powodu uszkodzenia pamięci. Może to prowadzić do zdalnego odmowy usługi, powodując awarię procesora komunikacyjnego bez potrzeby dodatkowych uprawnień wykonawczych.
OpenClaw przed wersją 2026.5.12 zawiera podatność na powtórne użycie tokenów bootstrap, co pozwala na ponowne wykorzystanie tokenów z szerszymi zakresem żądań przez osoby z oczekującymi tokenami. Atakujący mogą powtórzyć tokeny bootstrap przed ich zatwierdzeniem, co umożliwia eskalację uprawnień parowania poza zamierzone limity.
OpenClaw w wersji przed 2026.5.6 zawiera lukę umożliwiającą obejście listy dozwolonych elementów w funkcji exec Swift dla macOS, która nie uwzględnia połączonych flag poleceń POSIX. Atakujący mogą wykonać zawartość powłoki poza zamierzonym sprawdzeniem listy dozwolonych elementów, co może prowadzić do nieautoryzowanego wykonania poleceń w zależności od konfiguracji operatora.
OpenClaw przed wersją 2026.5.7 zawiera lukę w polityce nadawcy w BlueBubbles, która pozwala uczestnikom na dopasowanie wpisów z listy dozwolonych nadawców za pomocą metadanych rozmowy zamiast stabilnej tożsamości nadawcy.

