Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Wersje Ericsson Packet Core Controller (PCC) przed 1.39 zawierają podatność, która pozwala atakującemu na wysłanie dużej liczby specjalnie przygotowanych wiadomości, co może prowadzić do degradacji usług.
HelloTalk w wersji 3.4.1 przechowuje pełne współrzędne GPS, nawet gdy użytkownik zamierzał udostępnić jedynie kraj lub miasto. Współrzędne te są umieszczane w bazie danych na urządzeniach innych użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na refleksyjny atak typu cross-site scripting w zaawansowanych parametrach wyszukiwania, które nieprawidłowo sanitizują dane wejściowe użytkownika przed ich wyświetleniem w formularzach wyszukiwania. Atakujący mogą wstrzykiwać złośliwe skrypty przez niesanitizowane parametry wyszukiwania, co pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane odzwierciedlone ataki typu cross-site scripting w punkcie końcowym server.log. Umożliwia to atakującym wstrzykiwanie dowolnego kodu HTML i JavaScript poprzez parametr wyszukiwania.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, powodując degradację usług.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe zarządzanie brakującymi wartościami, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.
Wersje Ericsson Packet Core Gateway (PCG) przed 1.30 zawierają podatność na niewłaściwe przetwarzanie syntaktycznie nieprawidłowej struktury, co pozwala atakującemu na ciągłe wysyłanie specjalnie przygotowanej wiadomości, prowadząc do degradacji usług.
Podatność typu Server-Side Request Forgery (SSRF) w funkcji tworzenia procesów w linqi pozwala uwierzytelnionemu atakującemu na badanie komponentów wewnętrznej sieci. Atakujący może skonstruować odpowiedni proces z komponentem żądania HTTP, co umożliwia serwerowi wysyłanie dowolnych żądań HTTP.
Podatność na niewłaściwą autoryzację w punkcie końcowym /api/Cdn/GetFile w linqi pozwala nieautoryzowanym, zdalnym atakującym na obejście kontroli dostępu do plików. Funkcja ValidateAnonFileAccess błędnie przyznaje dostęp, gdy podany jest parametr zapytania 'AnonFile' zawierający dokładnie 256 znaków.
Podatność w sterowniku USB Samsung Android dla systemu Windows przed wersją 1.9.5.0 wynika z nieprawidłowej walidacji danych wejściowych. Lokalny atakujący może wykorzystać ten błąd do uzyskania dostępu do pamięci poza dozwolonym zakresem.
Podatność w przeglądarce Samsung Internet przed wersją 30.0.0.39 wynika z nieprawidłowej autoryzacji, co umożliwia lokalnym atakującym dostęp do poufnych informacji.
Nieprawidłowa kontrola dostępu w usłudze AuditLogService przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Nieprawidłowy eksport komponentów aplikacji na Androida w SpriteWallpaper przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Błędne przypisanie uprawnień w Telephony przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Nieprawidłowe zarządzanie niewystarczającymi uprawnieniami w SecTelephonyProvider przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do plików z uprawnieniami.
HCL Digital Experience oraz HCL Digital Experience Compose mogą być podatne na wstrzyknięcie nagłówka Host. Atakujący może manipulować nagłówkiem Host, co może prowadzić do nieprzewidywalnego zachowania aplikacji.
HCL Digital Experience Compose jest podatny na odzwierciedloną podatność XSS w centrum wyszukiwania. Atakujący może wykonać dowolny kod JavaScript w przeglądarce ofiary.
Podatność w bibliotece 'decompress' umożliwia zapis dowolnego pliku poza katalogiem docelowym podczas rozpakowywania spreparowanego archiwum ZIP. Atak wykorzystuje dwa wpisy o tej samej ścieżce: pierwszy to dowiązanie symboliczne, drugi to zwykły plik, co prowadzi do zapisu treści przez dowiązanie do dowolnej lokalizacji. Obejście to omija istniejące zabezpieczenia przed trawersowaniem ścieżek, w tym funkcję 'preventWritingThroughSymlink' dodaną w ramach poprawki dla CVE-2020-12265.
W Znuny LTS przed wersją 6.5.21 oraz w Znuny przed wersją 7.3.3 występuje podatność na refleksyjny XSS w widoku administracyjnym logu komunikacji.

