Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Vim to otwarty edytor tekstu w wierszu poleceń, który może powodować przepełnienie podczas analizowania względnych adresów ex. Problem występuje w istniejącej kontroli przepełnienia, gdy numer linii staje się ujemny. Wpływ jest niski, wymagana jest interakcja użytkownika.
Vim to otwarty edytor tekstu w trybie wiersza poleceń. Podczas uzyskiwania liczby dla polecenia 'z' w trybie normalnym, może wystąpić przepełnienie dla dużych wartości, co może prowadzić do awarii, chociaż nie zawsze się to zdarza.
Vim to otwarty edytor tekstu w trybie tekstowym. Jeśli liczba po poleceniu :s jest większa niż to, co mieści się w zmiennej typu long, program kończy działanie z błędem e_value_too_large. Problem został rozwiązany w wersji 9.0.2108.
Vim to otwartoźródłowy edytor tekstu w trybie tekstowym. Występuje wyjątek punktu zmiennoprzecinkowego podczas obliczania przesunięcia linii dla zbyt długich linii, gdy włączone jest płynne przewijanie i ustawienia cpo zawierają flagę 'n'. Problem ten prowadzi do awarii aplikacji.
Vim to otwartoźródłowy edytor tekstu działający w trybie wiersza poleceń. Podczas zamykania okna, vim może próbować uzyskać dostęp do już zwolnionej struktury okna.
W wersjach sudo-rs przed 0.2.1 odkryto problem, w którym nazwy użytkowników zawierające znaki '.' i '/' mogą prowadzić do uszkodzenia określonych plików w systemie plików. Użytkownik z taką nazwą może usunąć plik binarny, co skutkuje jego usunięciem z systemu.
W systemie Dreamer CMS do wersji 4.1.3 zidentyfikowano podatność, która umożliwia zdalny dostęp do plików lub katalogów poprzez manipulację w pliku /upload/ueditorConfig?action=config. Klasyfikowana jest jako problematyczna z wysoką złożonością ataku.
W systemie TOTVS RM 12.1 zidentyfikowano podatność, która umożliwia atak typu cross site scripting poprzez manipulację argumentem VIEWSTATE w pliku Login.aspx. Atak można przeprowadzić zdalnie, jednak jego złożoność jest wysoka.
W standardowym monitorze maszyn wirtualnych (VMM) zidentyfikowano problem w domyślnych implementacjach funkcji traitu `VolatileMemory`, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem. Problem dotyczy użytkowników niestandardowych implementacji `VolatileMemory`, które nie przestrzegają dokumentacji funkcji `get_slice`.
Wykryto podatność w Infosoftbd Clcknshop 1.0.0, która prowadzi do ataku typu cross site scripting (XSS) poprzez manipulację argumentem q w pliku /collection/all. Atak może być przeprowadzony zdalnie.
Graylog, platforma do zarządzania logami, wykorzystuje jeden port źródłowy do zapytań DNS, co narusza zalecane praktyki bezpieczeństwa. To może umożliwić ataki typu DNS cache poisoning, gdzie zewnętrzny atakujący może wstrzykiwać fałszywe odpowiedzi DNS do pamięci podręcznej Grayloga.
W Graylog występuje częściowa podatność na przejście ścieżki w funkcji `Support Bundle`, która pozwala atakującemu z ważnymi poświadczeniami roli Admin na pobieranie lub usuwanie plików w sąsiednich katalogach. Problem wynika z niewłaściwej walidacji danych wejściowych w zasobie API HTTP.
IBM Security Verify Information Queue w wersjach 10.0.4 i 10.0.5 przechowuje wrażliwe informacje w postaci niezaszyfrowanej, co umożliwia ich odczyt przez lokalnego użytkownika.
W repozytorium GitHub instantsoft/icms2 przed wersją 2.16.1 występuje podatność związana z wrażliwym ciasteczkiem w sesji HTTPS, które nie ma atrybutu 'Secure'.
W platformie Graylog, w przypadku klastrów wielowęzłowych, sesja użytkownika może być nadal używana do żądań API po wylogowaniu, aż do osiągnięcia pierwotnego czasu wygaśnięcia. Każdy węzeł utrzymuje lokalną pamięć podręczną sesji użytkowników, co prowadzi do sytuacji, w której inne węzły mogą nadal akceptować sesję po jej usunięciu z lokalnej pamięci podręcznej.
xrdp to otwartoźródłowy serwer protokołu pulpitu zdalnego (RDP). W wersjach przed 0.9.23 niewłaściwe obsługiwanie błędów podczas nawiązywania sesji pozwala na obejście ograniczeń sesji na poziomie systemu operacyjnego.
W repozytorium GitHub bookstackapp/bookstack przed wersją 23.08 występuje podatność typu Server-Side Request Forgery (SSRF). Umożliwia to atakującym wysyłanie żądań do wewnętrznych usług serwera, co może prowadzić do ujawnienia wrażliwych informacji.
W systemie zarządzania zapasami SourceCodester w wersji 1.0 zidentyfikowano podatność, która umożliwia atak typu cross site scripting (XSS) poprzez manipulację argumentem name/company w pliku suppliar_data.php. Atak może być przeprowadzony zdalnie.
W systemie SPA-Cart eCommerce CMS w wersji 1.9.0.3 zidentyfikowano podatność, która została oceniona jako problematyczna. Manipulacja argumentami filter[brandid] oraz filter[price] w pliku /search prowadzi do ataku typu cross-site scripting.
W platformie zarządzania Byzoro Smart S85F do wersji 20230816 zidentyfikowano podatność, która dotyczy nieznanej funkcjonalności pliku /sysmanage/licence.php. Manipulacja tą funkcjonalnością prowadzi do niewłaściwych kontroli dostępu.

