Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność TOCTOU pozwala na ponowne usunięcie źródeł danych, które zostały niedawno usunięte i następnie odtworzone, bez odpowiednich uprawnień.
Podatność ReDoS w bibliotece ajv (Another JSON Schema Validator) przed wersją 8.18.0 umożliwia atakującemu przeprowadzenie ataku typu odmowa usługi (DoS) poprzez wstrzyknięcie złośliwego wzorca wyrażenia regularnego do opcji $data. Atak wymaga jedynie jednego żądania HTTP, a 31-znakowy ładunek powoduje blokadę procesora na około 44 sekundy.
W NetworkManager wykryto lukę umożliwiającą nieuprzywilejowanym użytkownikom dostęp do plików innych użytkowników podczas konfiguracji sieci. Demon działający z uprawnieniami roota może odczytywać pliki należące do innych użytkowników niż ten, który dodał połączenie.
W libexpat przed wersją 2.7.4 funkcja XML_ExternalEntityParserCreate nie kopiuje danych użytkownika dla nieznanych obsługiwaczy kodowania. Może to prowadzić do nieprawidłowego przetwarzania danych XML.
W bibliotece libxml2 wykryto podatność polegającą na niekontrolowanym zużyciu zasobów podczas przetwarzania katalogów XML zawierających powtarzające się elementy <nextCatalog> wskazujące na ten sam katalog. Zdalny atakujący może wykorzystać to przez dostarczenie spreparowanych katalogów, powodując nadmiarowe przetwarzanie łańcuchów katalogów.
W parserze RelaxNG biblioteki libxml2 wykryto błąd w obsłudze zewnętrznych dołączeń schematów. Parser nie ogranicza głębokości zagnieżdżenia dyrektyw <include>, co może prowadzić do nadmiernej rekurencji podczas przetwarzania. Specjalnie spreparowane schematy mogą spowodować wyczerpanie stosu i awarię aplikacji.
Podatność CVE-2025-13127 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie GoldenHorn firmy TAC Information Services. Umożliwia to ataki typu Cross-Site Scripting (XSS).
W bibliotece libexpat do wersji 2.7.3, specjalnie przygotowany plik o przybliżonym rozmiarze 2 MiB może powodować znaczne opóźnienia w czasie przetwarzania, trwające nawet kilkanaście sekund.
W Fortinet FortiOS oraz FortiPAM występuje podatność związana z niewłaściwym zarządzaniem uprawnieniami, która pozwala uwierzytelnionemu administratorowi na obejście polityki zaufanego hosta za pomocą odpowiednio skonstruowanego polecenia CLI.
W PyTorch w wersjach 2.5 i 2.7.1 pominięcie wywołania profiler.stop() może spowodować awarię lub zawieszenie torch.profiler.profile (PythonTracer) podczas finalizacji, prowadząc do odmowy usługi (DoS).
W podatności CVE-2025-58903 w Fortinet FortiOS w wersjach od 7.6.0 do 7.6.3 oraz przed 7.4.8 występuje problem z niezweryfikowaną wartością zwracaną, który pozwala uwierzytelnionemu użytkownikowi na spowodowanie dereferencji wskaźnika null, co prowadzi do awarii demona http.
W Fortinet FortiOS i FortiProxy występuje podatność na przekierowanie URL do nieufnych witryn, która może być wykorzystana przez nieautoryzowanego atakującego do przeprowadzenia ataku typu open redirect za pomocą odpowiednio skonstruowanych żądań HTTP.
W Fortinet FortiOS i FortiProxy występuje podatność na wstrzykiwanie wrażliwych informacji do plików dziennika. Dotyczy to wersji FortiOS od 7.6.0 do 7.6.3 oraz wszystkich wersji 7.4, 7.2, 7.0 i 6.4, a także FortiProxy od 7.6.0 do 7.6.3 oraz wersji 7.4.0 do 7.4.13.
W bibliotece libxslt odkryto podatność w funkcji exsltFuncResultComp(), która przetwarza elementy EXSLT <func:result> podczas parsowania arkuszy stylów. Z powodu nieprawidłowego obsługiwania typów, funkcja może potraktować węzeł dokumentu XML jako zwykły węzeł elementu XML, co prowadzi do pomylenia typów. Może to skutkować nieoczekiwanymi odczytami pamięci i potencjalnymi awariami.
Backend OpenSSL w glib-networking nieprawidłowo sprawdza wartości zwracane przez funkcje alokacji pamięci. W warunkach braku pamięci może to prowadzić do zapisu w nieprawidłowej lokalizacji pamięci.
W bibliotece libssh wykryto podatność polegającą na nieprawidłowym zarządzaniu pamięcią podczas wymiany kluczy (KEX), gdy klient wielokrotnie wysyła błędne zgadywania. Brak zwalniania pamięci w trakcie tych operacji może stopniowo wyczerpać dostępną pamięć systemową, prowadząc do awarii po stronie klienta, szczególnie przy użyciu libgcrypt.
W glib znaleziono lukę, która prowadzi do przepełnienia całkowitego podczas tworzenia plików tymczasowych. To zjawisko skutkuje dostępem do pamięci poza przydzielonym obszarem, co umożliwia atakującemu potencjalne wykonanie ataku typu path traversal lub dostęp do prywatnych treści plików tymczasowych poprzez tworzenie dowiązań symbolicznych.
W bibliotece libxml2 do wersji 2.14.5 wykryto podatność polegającą na niekontrolowanej rekurencji w funkcji xmlParseSGMLCatalog komponentu xmlcatalog. Atak wymaga dostępu lokalnego i może być przeprowadzony przy użyciu zaufanych katalogów SGML.
Brak walidacji certyfikatów SSL w BlueStacks v5.20 umożliwia atakującym przeprowadzenie ataku typu man-in-the-middle i przechwycenie poufnych informacji.
W jądrze Linuxa w komponencie ksmbd (serwer SMB/CIFS) wykryto podatność, która pozwala na obejście mechanizmu zabezpieczającego przed atakami słownikowymi. Mechanizm ten wprowadza 5-sekundowe opóźnienie podczas ustanawiania sesji, ale może zostać ominięty poprzez użycie żądań asynchronicznych.

