Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.14)
W jądrze Linux w module qrtr wykryto podatność polegającą na przedwczesnym zmniejszeniu licznika referencji gniazda przed usunięciem go z tablicy XArray i zakończeniem okresu RCU. Prowadzi to do nasycenia licznika referencji i potencjalnego Use-After-Free (UAF) przy jednoczesnym dostępie przez czytelników RCU.
W jądrze Linux wykryto podatność na zakleszczenie w funkcjach send_sigio() i send_sigurg() podczas wysyłania sygnałów do grup procesów z włączonym FASYNC. Problem wynika z niebezpiecznej kolejności blokad między kontekstem procesu a miękkim przerwaniem (softirq), co może prowadzić do blokady systemu.
W jądrze Linuxa wycofano commit włączający domyślnie wątkowy NAPI w sterowniku WireGuard, ponieważ powodował on całkowite zatrzymanie odszyfrowywania ruchu dla konkretnych peerów w środowiskach z Cilium i Kubernetes. Problem występował rzadko, ale prowadził do trwałego blokowania ruchu E/W między podami, bez możliwości samodzielnego odzyskania sprawności.
Brak uwierzytelnienia dla krytycznej funkcji w MailerUp <1.0.1 umożliwia zdalnemu, nieautoryzowanemu atakującemu samodzielne rejestrowanie konta. Punkt końcowy POST /api/auth/register/ stosuje uprawnienia AllowAny bez weryfikacji e-mail, CAPTCHA lub zatwierdzenia przez administratora.
Feast przed wersją 0.63.0 zawiera podatność na niebezpieczną deserializację, która pozwala nieuwierzytelnionym lub nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez wysłanie spreparowanego żądania gRPC do serwera rejestru. Pole user_defined_function.body w specyfikacji OnDemandFeatureView jest dekodowane z base64 i przekazywane do funkcji dill.loads() przed wykonaniem jakiejkolwiek kontroli autoryzacji, co umożliwia atakującym osadzenie złośliwego, zserializowanego obiektu Python z dowolną metodą __reduce__ w celu wykonania poleceń systemu operacyjnego jako konto usługi Feast.
Numer CVE został odrzucony lub wycofany przez jego autorytet numeracji CVE.
Identyfikator CVE-2026-56118 został odrzucony lub wycofany przez jego autorytet numeracji CVE.
Podatność w oprogramowaniu Marlin Firmware do wersji 2.1.2.7 (załatana w commicie 1f255d1) z włączoną funkcją MESH_BED_LEVELING pozwala na zapis poza zakresem tablicy w obsłudze kodu G M421. Atakujący może wysłać spreparowane polecenie G-code przez USB, sieć lub złośliwy plik, aby zapisać kontrolowaną 32-bitową wartość zmiennoprzecinkową poza granicami tablicy z_values, co prowadzi do uszkodzenia pamięci firmware'u.
motionEye (mEye) to interfejs online dla oprogramowania 'motion', które służy do monitoringu wideo z detekcją ruchu. W wersjach przed 0.44.0 występuje podatność na przejście ścieżki absolutnej w wielu obsługiwanych plikach multimedialnych, co pozwala atakującemu na odczyt dowolnych plików z systemu plików.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie frappe.ui.Tree.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niebezpieczną ewaluacją danych kontrolowanych przez użytkownika w komponencie Number Card.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w panelu Powiadomienia > Wydarzenia.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na przechowywane ataki Cross-Site Scripting (XSS) z powodu niewłaściwego neutralizowania danych wejściowych kontrolowanych przez użytkownika w komponencie MultiSelectDialog.
W frameworku Frappe w wersji 17.0.0-dev występuje podatność typu Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem niezaufanego wejścia w rendererze nagłówka pulpitu formularza.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze breadcrumb dla widoku plików.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w rendererze ikon pulpitu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność na refleksyjny atak Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w komponencie widoku dashboardu.
W Frappe Framework w wersji 17.0.0-dev występuje podatność typu Stored Cross-Site Scripting (XSS) spowodowana niewłaściwym neutralizowaniem danych wejściowych kontrolowanych przez użytkownika w funkcji frappe.get_avatar.
Procesory graficzne Apple M1 przechowują dane rejestrów między wywołaniami shaderów obliczeniowych z różnych procesów. Aplikacja atakująca w piaskownicy może odczytać przestarzałe wartości rejestrów pozostawione przez inną aplikację ofiary.

