Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Spring Boot nie włącza weryfikacji nazwy hosta w automatycznej konfiguracji poczty. Aplikacje, które ustawią odpowiednią właściwość JavaMail, nie są narażone.
Spring Web Flow's JavaScript RemotingHandler renderuje treść odpowiedzi błędu jako HTML, nawet gdy odpowiedź nie jest typu 'text/html'. Może to prowadzić do ataku skryptowego w przeglądarce użytkownika, jeśli odpowiedź błędu z serwera zawiera szczegóły błędu z danymi wprowadzonymi przez atakującego.
Aplikacje, które konfigurowały WebFlowELExpressionParser, są podatne na wykorzystanie złośliwych wyrażeń Unified EL.
Wtyczka Open User Map PRO dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'oum_location_notification' w wersjach do 1.4.31 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych.
ImageMagick przed wersją 7.1.2-25 zawierał podatność, która pozwalała na nadpisanie bufora w stercie podczas kodowania wieloklatkowego obrazu za pomocą enkodera SF3.
ImageMagick przed wersją 7.1.2-25 ma problem z niewielkim wyciekiem pamięci, który występuje przy podawaniu nieprawidłowych opcji do parsera opcji wand.
ImageMagick przed wersjami 6.9.13-50 i 7.1.2-25 zawierał podatność, która prowadziła do dereferencji wskaźnika null podczas przekazywania niepoprawnych argumentów w operacji zniekształcenia. Problem ten został naprawiony w wersjach 6.9.13-50 i 7.1.2-25.
ImageMagick przed wersjami 6.9.13-50 i 7.1.2-25 ma problem z alokacją pamięci w funkcji CheckPrimitiveExtent, co może prowadzić do błędu heap-use-after-free i awarii programu.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-24 miał problem z nieprawidłowym parsowaniem nazw plików, co mogło prowadzić do obejścia polityki bezpieczeństwa i odczytu plików zabronionych przy użyciu symlinków.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-24 miał brak sprawdzenia wartości zwracanej, co mogło prowadzić do nadpisania bufora w stercie w dekoderze MAT na systemach 32-bitowych. Problem został naprawiony w wersjach 6.9.13-48 i 7.1.2-24.
ImageMagick przed wersjami 6.9.13-49 i 7.1.2-24 zawierał podatność na przepełnienie stosu spowodowaną brakiem sprawdzenia głębokości lub zestawu odwiedzonych elementów w plikach MVG. Problem został naprawiony w wymienionych wersjach.
ImageMagick przed wersjami 6.9.13-49 i 7.1.2-24 zawierał błąd, który mógł prowadzić do nieskończonej pętli podczas operacji wyszukiwania subobrazów przy użyciu spreparowanego obrazu. Problem został naprawiony w wersjach 6.9.13-49 i 7.1.2-24.
ImageMagick przed wersją 7.1.2-24 ma podatność na nadpisanie bufora w stercie, gdy używa się obrazu z maską przy metodzie ditheringu Floyd-Steinberga.
Dulwich, implementacja formatów i protokołów Git w czystym Pythonie, ma podatność, która pozwala klientowi z dostępem do push na wysłanie małego, spreparowanego pakietu, co prowadzi do alokacji ogromnej ilości pamięci. Problem dotyczy wersji od 0.1.0 do 1.2.5 i został naprawiony w wersji 1.2.5.
Boxlite to usługa sandbox, która pozwala użytkownikom na tworzenie lekkich maszyn wirtualnych i uruchamianie kontenerów OCI. W wersjach 0.8.2 i wcześniejszych, Boxlite używa sygnału SIGALRM do zakończenia procesów po upływie czasu, co może być wykorzystane przez złośliwy kod do kontynuowania działania, prowadząc do wyczerpania zasobów.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na wywołanie nadmiernego odczytu bufora w procesie serwera, jeśli miał dostęp do usługi magick -distribute-cache.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 miał rozproszoną pamięć podręczną pikseli, która nie wymagała modelu uwierzytelniania opartego na wyzwaniu i odpowiedzi. Wprowadzono zmiany w nowszych wersjach, aby poprawić bezpieczeństwo.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na przejęcie deskryptora pliku w procesie serwera, gdy wystąpił warunek wyścigu. Problem ten został naprawiony w wymienionych wersjach.
ImageMagick przed wersjami 6.9.13-48 i 7.1.2-23 zawierał podatność, która pozwalała atakującemu na wykonanie nadpisania bufora w stercie w procesie serwera, jeśli miał dostęp do usługi magick -distribute-cache.
SQLAdmin to elastyczny interfejs administracyjny dla modeli SQLAlchemy. W wersjach przed 0.25.1 punkt końcowy ajax_lookup w application.py omija kontrolę dostępu is_accessible(), co pozwala uwierzytelnionym użytkownikom na dostęp do danych modeli, mimo że dostęp został ograniczony przez dewelopera.

