Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Podatność w HubSpot umożliwia wstawienie wrażliwych informacji do wysyłanych danych, co pozwala na odzyskanie osadzonych danych wrażliwych. Problem dotyczy wersji HubSpot od n/a do 11.3.51.
Podatność CSRF w VikBooking Hotel Booking Engine & PMS umożliwia atakującemu wykonanie operacji prowadzących do przejścia ścieżki (Path Traversal). Luka występuje we wszystkich wersjach do 1.8.12 włącznie.
Podatność w dekoderze HPACK HTTP/2 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) pozwala zdalnemu atakującemu na wyczerpanie pamięci poprzez wysłanie nadmiernie dużych skompresowanych bloków nagłówków przed potwierdzeniem ustawień HTTP/2, co prowadzi do odmowy usługi (DoS).
Podatność CWE-117 w Kibanie umożliwia wstrzykiwanie niesanitowanych danych do logów. Atakujący może dostarczyć specjalnie spreparowane dane wejściowe, które bez odpowiedniej neutralizacji trafiają do plików logów. Po wyświetleniu logów w terminalu interpretującym sekwencje sterujące, wstrzyknięta treść może zmienić wyświetlane dane.
W containerd przed wersjami 1.7.32, 2.0.9, 2.2.4 i 2.3.1, kontenery z dyrektywą User ustawioną na wartość liczbową, która nie może być sparsowana jako 32-bitowa liczba całkowita, są błędnie traktowane jako nazwa użytkownika. Umożliwia to ominięcie ograniczenia runAsNonRoot w Kubernetes, jeśli spreparowany obraz zawiera wpis w /etc/passwd mapujący tę dużą liczbę na roota, co powoduje uruchomienie kontenera jako root (UID 0).
Kamery IP Wi-Fi JAIOTlink C492A-W6 z firmware 4.8.30.57701411 zawierają podatność zdalnego wykonania kodu. Uwierzytelniony atakujący może zapisać złośliwy skrypt w trwałej pamięci JFFS2 i wywołać jego wykonanie przez endpoint HTTP, co prowadzi do trwałego przejęcia kontroli nad urządzeniem.
W kamerach IP Wi-Fi JAIOTlink C492A-W6 z oprogramowaniem 4.8.30.57701411 wykryto podatność na wstrzykiwanie poleceń systemu operacyjnego. Uwierzytelniony atakujący może zdalnie wykonać kod, dostarczając złośliwy parametr Wireless do punktu końcowego HTTP PUT NetSDK/Factory SetMAC.
Ray przed wersją 2.56.0 zawiera podatność na niebezpieczną deserializację w czytniku WebDataset. Atakujący może zdalnie wykonać kod, dostarczając złośliwe archiwum tar do funkcji read_webdataset(), która bezwarunkowo wywołuje pickle.loads() na wpisach .pkl/.pickle oraz torch.load() z weights_only=False na .pt/.pth, co prowadzi do wykonania kodu w zdalnych workerach Ray.
Podatność na niekontrolowane zużycie zasobów w parserze wiadomości HTTP/1.1 w Apache HttpComponents Core (wersje 5.4.2 i wcześniejsze, 5.5-beta1 i wcześniejsze) umożliwia zdalnemu atakującemu wywołanie odmowy usługi poprzez wyczerpanie pamięci. Atak polega na wysyłaniu wiadomości z nadmierną liczbą nagłówków lub nadmiernie długimi nagłówkami.
Podatność w parserze formatu DMG w ClamAV może pozwolić nieuwierzytelnionemu atakującemu na zdalne spowodowanie odmowy usługi (DoS) lub innych skutków wynikających z uszkodzenia pamięci na podatnym urządzeniu. Problem wynika z nieprawidłowych kontroli granicznych podczas skanowania plików DMG, co prowadzi do przepełnienia liczb całkowitych wyłącznie na platformach 32-bitowych.
Podatność w parserze formatu ALZ w ClamAV może pozwolić nieuwierzytelnionemu atakującemu na zdalne wywołanie stanu DoS lub innych skutków wynikających z uszkodzenia pamięci. Błąd wynika z nieprawidłowych kontroli granic podczas skanowania plików ALZ, co prowadzi do zapisu poza dozwolonym buforem.
Podatność w parserze formatu plików PESpin w ClamAV może pozwolić nieuwierzytelnionemu, zdalnemu atakującemu na spowodowanie warunku DoS lub innych skutków wynikających z uszkodzenia pamięci. Błąd wynika z nieprawidłowego sprawdzania granic zawartości w plikach PESpin podczas skanowania, co może prowadzić do zapisu poza dozwolonym buforem.
Podatność w parserze formatu plików InstallShield w ClamAV może pozwolić nieuwierzytelnionemu, zdalnemu atakującemu na wywołanie stanu odmowy usługi (DoS) na podatnym urządzeniu. Problem wynika z nieprawidłowego zarządzania tymczasowymi zasobami podczas skanowania plików.
Podatność w parserze formatu 7z w ClamAV umożliwia zdalnemu atakującemu wywołanie odmowy usługi (DoS) poprzez przesłanie spreparowanego pliku 7z. Problem wynika z nieprawidłowego sprawdzania granic danych, co prowadzi do zapisu poza dozwolonym buforem i potencjalnego uszkodzenia pamięci.
Podatność w parserze formatu plików FSG w ClamAV może pozwolić nieuwierzytelnionemu, zdalnemu atakującemu na spowodowanie warunku DoS lub innych skutków wynikających z uszkodzenia pamięci na podatnym urządzeniu. Wynika ona z nieprawidłowych kontroli granic dla zawartości plików FSG podczas skanowania, co może prowadzić do zapisu poza dozwolonym buforem.
Podatność w parserze formatu plików PE w ClamAV umożliwia nieuwierzytelnionemu, zdalnemu atakującemu spowodowanie warunku DoS lub innych skutków wynikających z uszkodzenia pamięci. Błąd wynika z nieprawidłowych kontroli granic dla zawartości plików PE podczas skanowania, co może prowadzić do zapisu poza dozwolonym buforem.
Podatność w Cisco Catalyst Center umożliwia nieuwierzytelnionemu, zdalnemu atakującemu odczyt dowolnych plików z ograniczonego kontenera. Problem wynika z niewystarczającej walidacji danych wejściowych użytkownika.
Podatność w NVIDIA Triton Inference Server dla systemu Linux umożliwia atakującemu nieprawidłowe obsłużenie silnie skompresowanych danych. Skuteczne wykorzystanie tej luki może prowadzić do odmowy usługi (DoS).
NVIDIA Container Toolkit dla systemu Linux zawiera podatność polegającą na błędzie typu time-of-check time-of-use (TOCTOU). Udane wykorzystanie tej luki może prowadzić do wykonania kodu, eskalacji uprawnień oraz manipulacji danymi.
Podatność w NVIDIA Megatron Bridge dla systemu Linux umożliwia atakującemu niekontrolowane zarządzanie dynamicznie ładowanym kodem. Udane wykorzystanie może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.

