Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Wykorzystanie niezainicjowanej pamięci w GPU w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Podatność na obejście dostępu w wtyczkach TFA Basic dla Drupala pozwala użytkownikom z uprawnieniami do zarządzania użytkownikami na przeglądanie lub generowanie kodów odzyskiwania dla innych użytkowników.
Nieodpowiednia implementacja w Skia w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Aplikacja AnythingLLM przed wersją 1.13.0 miała lukę, która pozwalała na wykorzystanie zatwierdzonego tokena mobilnego stworzonego w trybie jednego użytkownika po migracji do trybu wielu użytkowników. Token ten był akceptowany przez middleware autoryzacji mobilnej, co umożliwiało dostęp do danych innych użytkowników bez odpowiedniego filtrowania.
AnythingLLM to aplikacja, która przekształca fragmenty treści w kontekst, który może być używany przez LLM jako odniesienia podczas czatowania. W wersjach przed 1.13.0 narzędzie do kopiowania systemu plików agenta AnythingLLM walidowało jedynie ścieżki źródłowe i docelowe na najwyższym poziomie, co pozwalało na kopiowanie plików z wykorzystaniem symlinków bez odpowiedniej walidacji.
Ubuntu Linux w wersjach 6.8, 6.17 i 7.0 zawiera poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi mediacji gniazd AF_INET/AF_INET6. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować błędem jądra.
Ubuntu Linux 6.8 zawiera poprawki SAUCE, które mogą prowadzić do użycia nieinicjalizowanej zmiennej w kodzie mediacji gniazd AppArmor dla AF_INET/AF_INET6. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować nieprawidłową mediacją gniazd sieciowych.
W systemach Ubuntu Linux 6.8, 7.17 i 7.0 występują poprawki AppArmor SAUCE, które w określonych okolicznościach mogą używać niezainicjowanej zmiennej w kodzie obsługi powiadomień. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co prowadzi do nieprawidłowego buforowania odpowiedzi powiadomień AppArmor.
Ubuntu Linux w wersjach 6.8, 6.17 i 7.0 zawiera poprawki SAUCE, które nie weryfikują nieprawidłowych rozmiarów pola nazwy w odpowiedziach powiadomień AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może prowadzić do nieprawidłowego przetwarzania stworzonych odpowiedzi.
Ubuntu Linux 6.8, 6.17 i 7.0 zawierają poprawki SAUCE, które mogą prowadzić do dereferencji wskaźnika NULL podczas obsługi powiadomień AppArmor. Błąd może być wywołany przez nieuprzywilejowanego lokalnego użytkownika, co może skutkować błędem jądra.
Synapse to otwartoźródłowa implementacja serwera domowego Matrix. Przed wersją 1.152.1, w federacyjnych pokojach, złośliwe serwery domowe mogły tworzyć zdarzenia pokojowe w sposób, który uniemożliwiał Synapse dostarczenie pełnej historii dla klientów paginujących, co mogło prowadzić do braku wyświetlania historii pokoju.
PyJWT to implementacja JSON Web Token w Pythonie. W wersjach przed 2.13.0, metoda PyJWKClient.get_signing_key() wymuszała nowe żądanie HTTP do punktu JWKS dla każdego JWT z nieznaną wartością kid, bez ograniczeń w liczbie żądań.
pypdf to darmowa i otwartoźródłowa biblioteka PDF napisana w czystym Pythonie. Przed wersją 6.12.0, atakujący mógł wykorzystać tę podatność do stworzenia pliku PDF, który prowadził do długich czasów wykonywania.
Serwer Northern.tech Mender w wersjach v4.1.0, v4.0.1 i wcześniejszych jest podatny na atak typu Directory Traversal. Problem został naprawiony w wersjach v4.1.1 i v4.0.2.
Serwer Mender Enterprise firmy Northern.tech w wersjach przed 4.1.1 ma błędną kontrolę dostępu, co może prowadzić do nieautoryzowanego dostępu do zasobów systemowych.
W jądrze systemu Linux naprawiono podatność związaną z dziedziczeniem LOG_SUBDOMAINS_OFF podczas operacji fork(). Problem polegał na tym, że blob bezpieczeństwa Landlock nie był kopiowany, gdy źródłowe poświadczenie nie miało przypisanego domeny, co prowadziło do nieoczekiwanych wyników audytu w procesach potomnych.
Podatność związana z niewłaściwą walidacją certyfikatów w module pubkey_ocsp Erlang OTP pozwala na akceptację sfałszowanych odpowiedzi OCSP podpisanych przez wygasły certyfikat respondenta jako ważnych. Problem dotyczy weryfikacji odpowiedzi OCSP, która nie sprawdza okresu ważności certyfikatu respondenta.
W interfejsie zarządzania siecią Archer AX72 (SG) v1 funkcja diagnostyki sieci niewłaściwie obsługuje nieprawidłowe dane wejściowe użytkownika, co prowadzi do ograniczonego ujawnienia informacji o użyciu poleceń diagnostycznych. Uwierzytelniony atakujący z uprawnieniami administratora może wykorzystać tę lukę, aby potwierdzić obecność narzędzia diagnostycznego oraz zobaczyć jego poprawną składnię poleceń i opcje.
CVE-2026-47091 dotyczy podatności typu path traversal w aplikacji Claude HUD do wersji 0.0.12, która pozwala atakującym na odczyt dowolnych plików poprzez dostarczenie niezweryfikowanej wartości transcript_path za pomocą JSON ze stdin. W wyniku tego ataku, metadane plików są zapisywane w trwałym pliku cache z niewystarczającymi uprawnieniami.
Aplikacje desktopowe Mattermost w wersjach <=6.1, 6.0.1 oraz 5.4.13.0 nie zapobiegają zamykaniu widoku aplikacji przez treści renderowane przez serwer. Umożliwia to złośliwemu serwerowi lub wtyczce zainicjowanie {{window.close()}} w kontekście renderera, co prowadzi do awarii klienta desktopowego.

