Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
Przekazywanie niesanitarnych ciągów znaków z odpowiedzi DHCP do klienta DHCP wicked przed wersją 0.6.79 może być wykorzystane przez atakujących operujących złośliwym serwerem DHCP do wykonania kodu na lokalnej maszynie.
Yeoman Environment w wersjach od 2.9.0 do 6.0.0 instaluje brakujące lokalne pakiety generatorów z nazw pakietów dostarczonych przez użytkownika bez potwierdzenia. Może to prowadzić do nieautoryzowanej instalacji pakietów i wykonania kodu w przypadku, gdy atakujący kontroluje konfigurację projektu.
Framework NVIDIA NeMo dla systemu Linux zawiera podatność, która pozwala atakującemu na deserializację nieufnych danych. Udany atak może prowadzić do wykonania kodu, eskalacji uprawnień, manipulacji danymi oraz ujawnienia informacji.
Framework NVIDIA NeMo dla wszystkich platform zawiera podatność na wstrzykiwanie kodu. Udane wykorzystanie tej podatności może prowadzić do wykonania kodu, eskalacji uprawnień, ujawnienia informacji oraz manipulacji danymi.
W Pacemaker odkryto podatność polegającą na przepełnieniu liczby całkowitej podczas dekompresji zdalnych wiadomości. Nieuwierzytelniony atakujący może wysłać specjalnie spreparowaną skompresowaną wiadomość przed uwierzytelnieniem, powodując uszkodzenie pamięci i odmowę usługi (DoS) w słuchaczu CIB.
Atakujący z dostępem na poziomie sieciowym między SUSE Virtualization a Rancher Manager w SUSE Harvester przed wersją 1.8.0 może zakłócić handshake TLS i wykorzystać to do ominięcia TLS jako zabezpieczenia.
Kontener api-gateway działający z uprawnieniami roota umożliwia atakującemu ucieczkę z kontenera i dostęp do systemu hosta w celu wykonania niezamierzonych działań.
Dell OpenManage Integration z Microsoft Windows Admin Center zawiera podatność na zdalne wykonanie kodu w wtyczce bramki. Zdalny uwierzytelniony użytkownik może wykorzystać tę podatność do eskalacji uprawnień.
Forem to oprogramowanie open source do budowania społeczności. Przed poprawką a2ab6d4, złośliwie skonstruowany adres e-mail mógł umożliwić atakującemu ominięcie ograniczeń listy dozwolonych lub zablokowanych domen, co pozwalało na dostęp do wdrożeń forem wymagających zaproszenia.
Sync-in Server to bezpieczna, otwartoźródłowa platforma do przechowywania plików, udostępniania, współpracy i synchronizacji. W wersjach przed 2.3.0, regex używany w funkcji pobierania URL do blokowania prywatnych adresów IP nie pasuje do adresów IPv4-mapped IPv6, co pozwala na obejście ochrony SSRF w systemach dual-stack.
W galaxy_ng znaleziono podatność na wstrzykiwanie poleceń. Funkcja do_git_checkout() w legacy API importu ról (v1) interpoluje niesanitowane nazwy referencji git (nazwy gałęzi/tagów) do poleceń powłoki wykonywanych przez subprocess.run() z shell=True. Uwierzytelniony użytkownik kontrolujący repozytorium git może utworzyć gałąź lub tag z metaznakami powłoki w nazwie, aby uzyskać zdalne wykonanie kodu na pulpicie roboczym.
W produkcie występuje problem z odmową usługi, który wynika z błędu występującego podczas wysyłania spreparowanej wiadomości CIP. Urządzenia z mniejszą ilością pamięci są bardziej narażone na ten problem.
W adapterze 1794-AENTR występuje problem z niewłaściwą autoryzacją w wbudowanym serwerze WWW. Atakujący bez autoryzacji może zmienić hasło do interfejsu webowego urządzenia, wysyłając odpowiednio skonstruowane żądanie HTTP GET do określonego punktu końcowego.
W adapterze 1794-AENTR występuje problem z odmową usługi spowodowany niewłaściwym zarządzaniem pamięcią w żądaniach protokołu CIP. Ta podatność może prowadzić do awarii adaptera i utraty połączenia z powiązanymi modułami I/O, co wymaga ręcznego resetu w celu przywrócenia działania.
Zidentyfikowano problem bezpieczeństwa w Pavilion spowodowany niewłaściwym egzekwowaniem autoryzacji w punktach końcowych API. Ta podatność może pozwolić nieautoryzowanemu użytkownikowi na wykonywanie uprzywilejowanych operacji, w tym zarządzanie użytkownikami/rolami oraz innymi działaniami administracyjnymi.
W kontrolerach 1769 CompactLogix występuje problem bezpieczeństwa związany z brakiem walidacji numerów sekwencyjnych i adresów IP źródłowych w protokole CIP. Umożliwia to atakującym nadużywanie ujawnionych identyfikatorów połączeń widocznych w interfejsie webowym, co może prowadzić do ataków typu denial-of-service, skutkujących drobnymi usterkami.
W przeglądarkach Firefox ESR 115.36, Firefox ESR 140.11, Thunderbird ESR 140.11, Firefox 151 i Thunderbird 151 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich mogły prowadzić do uszkodzenia pamięci i potencjalnie umożliwić wykonanie dowolnego kodu.
W przeglądarkach Firefox ESR 140.11, Thunderbird ESR 140.11, Firefox 151 oraz Thunderbird 151 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może prowadzić do możliwości wykonania dowolnego kodu.
W przeglądarce Firefox 151 i kliencie poczty Thunderbird 151 wykryto błędy bezpieczeństwa pamięci. Niektóre z nich mogły prowadzić do uszkodzenia pamięci, co potencjalnie umożliwiało wykonanie dowolnego kodu. Luki zostały załatane w wersjach Firefox 152 i Thunderbird 152.
Błędne warunki graniczne w komponencie Graphics: CanvasWebGL mogą prowadzić do nieprzewidzianego zachowania aplikacji. Podatność ta została naprawiona w wersjach Firefox 152, Firefox ESR 140.12, Thunderbird 152 oraz Thunderbird 140.12.

