Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W jądrze Linuxa zidentyfikowano podatność związaną z brakiem sprawdzenia wartości NULL po wywołaniu alloc_workqueue(). Może to prowadzić do dereferencji wskaźnika NULL, co skutkuje błędami w działaniu sterownika.
Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają podatność na atak typu denial-of-service we wszystkich wersjach oprogramowania. Umożliwia to nieautoryzowanym atakującym zrestartowanie monitora poprzez wysyłanie źle sformatowanych pakietów sieciowych.
GLPI to darmowe oprogramowanie do zarządzania aktywami i IT. W wersjach od 0.50 do przed 10.0.25 oraz 11.0.7 technik może odczytać dowolne pliki znajdujące się w katalogu GLPI_DOC_DIR.
Funkcja unicodedata.normalize() może zużywać nadmierną moc CPU podczas przetwarzania specjalnie przygotowanego wejścia Unicode, które zawiera długie ciągi znaków łączących z naprzemiennymi wartościami klasy łączącej kanonicznej. Problem ten dotyczy wszystkich form normalizacji.
Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.
System zarządzania szkołą ProjectsAndPrograms wykorzystuje przewidywalne dane uwierzytelniające, generując hasła uczniów i nauczycieli wyłącznie na podstawie daty urodzenia użytkownika. Aplikacja nie wymaga zmiany hasła przy pierwszym logowaniu, co umożliwia atakującym łatwe odgadnięcie lub wyprowadzenie ważnych danych logowania.
System zarządzania szkołą ProjectsAndPrograms jest podatny na przechowywane ataki Cross-Site Scripting (XSS) w wielu atrybutach obiektów uczniów i nauczycieli. Autoryzowany atakujący, taki jak nauczyciel lub administrator, może wstrzyknąć złośliwy kod JavaScript, który zostanie następnie wykonany w przeglądarkach innych użytkowników.
Daphne w wersjach przed 4.2.2 nie przekazywał wartości maxFramePayloadSize ani maxMessagePayloadSize do WebSocketServerFactory Autobahna. Domyślne ustawienia Autobahna dla obu wartości wynoszą 0 (bez limitu), co pozwala nieautoryzowanemu zdalnemu atakującemu na wysyłanie dowolnie dużych wiadomości lub ramek WebSocket, co prowadzi do nadmiernego zużycia pamięci i odmowy usługi.
W bibliotece lwext4 1.0.0 w funkcji ext4_ext_binsearch_idx w pliku src/ext4_extent.c występuje odczyt poza zakresem pamięci. Podatność wynika z niewystarczającej walidacji pól nagłówka extent przed wykonaniem wyszukiwania binarnego, co może prowadzić do nieprawidłowych obliczeń wskaźników i odczytu poza dozwolonym obszarem pamięci podczas przeglądania drzewa extent.
Podatność dzielenia przez zero w funkcji ext4_block_set_lb_size biblioteki lwext4 1.0.0 umożliwia atakującemu wywołanie odmowy usługi poprzez dostarczenie zniekształconego obrazu systemu plików ext4 z zerowym rozmiarem bloku logicznego. Błąd występuje podczas montowania lub przetwarzania obrazu, prowadząc do wyjątku zmiennoprzecinkowego (FPE) w środowiskach z sanitizerami lub awarii w standardowych kompilacjach z powodu braku walidacji lb_size.
W funkcji gf_filter_pid_resolve_file_template_ex w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku.
W podatności typu 'Path Traversal' w funkcjonalności Backup Task w Synology Hyper Backup przed wersją 4.1.2-4036 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu. Umożliwia to zdalnym, uwierzytelnionym użytkownikom zapisanie określonych plików za pomocą nieokreślonych wektorów.
W podatności CVE-2024-47263 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu ('Path Traversal') w komponencie Backup.Repository webapi w Synology Hyper Backup przed wersją 4.1.2-4036. Umożliwia to zdalnym użytkownikom z uprawnieniami administratora zapisanie określonych plików zawierających niesensytywne informacje za pomocą nieokreślonych wektorów.
W podatności CVE-2023-52951 w kliencie Synology Note Station przed wersją 2.2.4-703 występuje przesyłanie wrażliwych informacji w postaci niezaszyfrowanej, co umożliwia atakującym typu man-in-the-middle przechwycenie danych uwierzytelniających użytkowników.
Middleware logowania morgan ma lukę, która pozwala na wyciąganie nazwy użytkownika z nagłówka autoryzacji Basic i zapisywanie jej w logach bez neutralizacji znaków kontrolnych. Atakujący może wysłać spreparowany nagłówek, co prowadzi do fałszowania logów.
Wykryto podatność w EIPStackGroup OpENer do wersji 2.3.0, dotycząca funkcji CreateMessageRouterRequestStructure w pliku cipmessagerouter.c komponentu SendRRData Handler. Manipulacja prowadzi do wykorzystania pamięci po jej zwolnieniu, co umożliwia zdalne wykorzystanie podatności.
W systemie rezerwacji łodzi online SourceCodester w wersji 1.0 wykryto podatność bezpieczeństwa. Dotyczy ona nieznanej funkcjonalności komponentu punktu administracyjnego, co prowadzi do niewłaściwej autoryzacji. Atak można przeprowadzić zdalnie.
Wtyczka EmergencyWP – Dead Man's switch & legacy deliverance dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji form_settings_ui, co umożliwia nieautoryzowanym atakującym modyfikację ustawień wtyczki.
Wtyczka Passeum Ticketing dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) we wszystkich wersjach do i włącznie z 1.0. Problem wynika z metody `get_shop_url()`, która zwraca wartość ustawienia `shop_name` bez sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez atakujących z dostępem na poziomie Administratora.
Zidentyfikowano słabość w kodzie johnhuang316 w wersjach do 2.14.0, dotyczącą funkcji is_safe_regex_pattern w komponencie search_code_advanced. Manipulacja argumentem regex może prowadzić do nieefektywnej złożoności wyrażeń regularnych, co umożliwia zdalne przeprowadzenie ataku.

