Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Wtyczka Team Members – Multi Language Supported Team Plugin dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administratora we wszystkich wersjach do 8.7 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.
W bibliotece lib60870 w wersjach od 2.3.3 do 2.3.6 wykryto przepełnienie bufora sterty w funkcji HighPriorityASDUQueue_hasUnconfirmedIMessages. Atakujący może wykorzystać tę podatność do wywołania awarii systemu (DoS) poprzez wysłanie spreparowanego pakietu.
W bibliotece snap7 w wersji 1.4.3 wykryto przepełnienie bufora sterty w funkcji TS7Worker::PerformFunctionWrite() w pliku /core/s7_server.cpp. Podatność umożliwia atakującemu wywołanie awarii usługi (DoS) poprzez wysłanie spreparowanego pakietu.
W Zephyr RTOS w funkcji mcumgr_serial_process_frag() wywołanie net_buf_reset() na wyniku smp_packet_alloc() następuje przed sprawdzeniem, czy wynik nie jest NULL. Gdy pula pakietów MCUmgr (domyślnie 4 bufory) zostanie wyczerpana, smp_packet_alloc() zwraca NULL, a net_buf_reset() zapisuje przez wskaźnik NULL, powodując awarię systemu. Atakujący może wysłać serię fragmentów przez interfejs szeregowy/UART/shell, aby wyczerpać pulę i wywołać odmowę usługi.
Wtyczka users-permissions w Strapi nie ogranicza algorytmów JWT, gdy parametr plugin::users-permissions.jwt.algorithm nie jest jawnie skonfigurowany, co pozwala na akceptację tokenów HS384 i HS512 obok domyślnego HS256. Atakujący posiadający jwtSecret może tworzyć tokeny z niestandardowymi wariantami HMAC, omijając ograniczenia algorytmów i osłabiając kontrolę uwierzytelniania.
W sterowniku USB CDC-NCM dla Zephyr RTOS brakuje sprawdzenia wartości zwracanej przez usbd_ep_enqueue(). Gdy enqueue zawiedzie (np. podczas zawieszenia magistrali USB), funkcja blokuje się na semaforze, który nigdy nie zostaje zasygnalizowany, powodując trwałe zakleszczenie wątku TX i zatrzymanie transmisji sieciowej aż do restartu.
Podatność nieprawidłowej autoryzacji w Apache Tomcat powoduje, że ograniczenia bezpieczeństwa dla domyślnego serwletu ignorują skonfigurowane metody HTTP lub ich pominięcie. Problem dotyczy wielu wersji Tomcat od 7.0.0 do 11.0.22.
Podatność w Apache Tomcat umożliwia atak typu replay na komponent EncryptionInterceptor w klastrze. Luka wynika z nieprawidłowego uwierzytelniania, co pozwala atakującemu na ponowne wykorzystanie przechwyconych danych.
W przykładowej aplikacji do zgadywania liczb w Apache Tomcat wykryto podatność na podstawowy atak XSS (Cross-Site Scripting). Brak odpowiedniej neutralizacji znaczników HTML związanych ze skryptami umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript.
Podatność XSS w bibliotece mdex dla Elixira pozwala atakującemu na wstrzyknięcie kodu JavaScript poprzez nieprawidłową walidację schematów URL w przetwarzaniu Markdown do Quill Delta. Atakujący może umieścić złośliwy link z schematem javascript: w tekście Markdown, który zostanie bez zmian skopiowany do atrybutu Delta, a następnie wykonany w przeglądarce ofiary po renderowaniu do HTML.
Podatność w bibliotece mdex (oraz mdex_native) umożliwia atak DoS poprzez dostarczenie głęboko zagnieżdżonego dokumentu Markdown. Rekurencyjne funkcje konwertujące nie sprawdzają maksymalnej głębokości, co prowadzi do przepełnienia stosu C i awarii całego węzła BEAM.
W bibliotekach mdex i mdex_native wykryto podatność polegającą na braku zwalniania pamięci po zakończeniu jej użytkowania. Atakujący może wysłać dokument zawierający znaczniki escaped-tag, co powoduje trwały wyciek pamięci w natywnym kodzie renderującym (Rust NIF). Każde renderowanie takiego dokumentu prowadzi do nieograniczonego wzrostu zużycia pamięci, aż do wyczerpania zasobów i awarii procesu BEAM.
W przeglądarce Safari wykryto podatność use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Problem został naprawiony w wersjach Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego crasha Safari.
W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność polegającą na zapisie poza dozwolonym zakresem pamięci. Problem został rozwiązany poprzez poprawę walidacji danych wejściowych.
W systemach iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2 wykryto podatność typu race condition, która została załatana poprzez ulepszone zarządzanie stanem. Luka umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu.
Podatność use-after-free w Safari została naprawiona poprzez ulepszone zarządzanie pamięcią. Problem występuje w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zakończenia procesu.
Podatność w Safari i systemach Apple umożliwia ujawnienie pamięci procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.
W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność typu use-after-free. Problem został rozwiązany poprzez ulepszone zarządzanie pamięcią. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zakończenia działania procesu.
Podatność związana z obsługą ścieżek w przeglądarce Safari i systemach Apple. Problem został rozwiązany poprzez poprawę walidacji. Aktualizacje dostępne w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.
W Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2 naprawiono podatność use-after-free. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zamknięcia Safari.

