Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-12114
Średnie

Wtyczka Team Members – Multi Language Supported Team Plugin dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez ustawienia administratora we wszystkich wersjach do 8.7 włącznie. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia.

CVE-2026-51219
Średnie

W bibliotece lib60870 w wersjach od 2.3.3 do 2.3.6 wykryto przepełnienie bufora sterty w funkcji HighPriorityASDUQueue_hasUnconfirmedIMessages. Atakujący może wykorzystać tę podatność do wywołania awarii systemu (DoS) poprzez wysłanie spreparowanego pakietu.

CVE-2026-51218
Średnie

W bibliotece snap7 w wersji 1.4.3 wykryto przepełnienie bufora sterty w funkcji TS7Worker::PerformFunctionWrite() w pliku /core/s7_server.cpp. Podatność umożliwia atakującemu wywołanie awarii usługi (DoS) poprzez wysłanie spreparowanego pakietu.

CVE-2026-10648
Średnie

W Zephyr RTOS w funkcji mcumgr_serial_process_frag() wywołanie net_buf_reset() na wyniku smp_packet_alloc() następuje przed sprawdzeniem, czy wynik nie jest NULL. Gdy pula pakietów MCUmgr (domyślnie 4 bufory) zostanie wyczerpana, smp_packet_alloc() zwraca NULL, a net_buf_reset() zapisuje przez wskaźnik NULL, powodując awarię systemu. Atakujący może wysłać serię fragmentów przez interfejs szeregowy/UART/shell, aby wyczerpać pulę i wywołać odmowę usługi.

CVE-2026-57997
Średnie

Wtyczka users-permissions w Strapi nie ogranicza algorytmów JWT, gdy parametr plugin::users-permissions.jwt.algorithm nie jest jawnie skonfigurowany, co pozwala na akceptację tokenów HS384 i HS512 obok domyślnego HS256. Atakujący posiadający jwtSecret może tworzyć tokeny z niestandardowymi wariantami HMAC, omijając ograniczenia algorytmów i osłabiając kontrolę uwierzytelniania.

CVE-2026-10647
Średnie

W sterowniku USB CDC-NCM dla Zephyr RTOS brakuje sprawdzenia wartości zwracanej przez usbd_ep_enqueue(). Gdy enqueue zawiedzie (np. podczas zawieszenia magistrali USB), funkcja blokuje się na semaforze, który nigdy nie zostaje zasygnalizowany, powodując trwałe zakleszczenie wątku TX i zatrzymanie transmisji sieciowej aż do restartu.

CVE-2026-55956
Średnie

Podatność nieprawidłowej autoryzacji w Apache Tomcat powoduje, że ograniczenia bezpieczeństwa dla domyślnego serwletu ignorują skonfigurowane metody HTTP lub ich pominięcie. Problem dotyczy wielu wersji Tomcat od 7.0.0 do 11.0.22.

CVE-2026-55955
Średnie

Podatność w Apache Tomcat umożliwia atak typu replay na komponent EncryptionInterceptor w klastrze. Luka wynika z nieprawidłowego uwierzytelniania, co pozwala atakującemu na ponowne wykorzystanie przechwyconych danych.

CVE-2026-50229
Średnie

W przykładowej aplikacji do zgadywania liczb w Apache Tomcat wykryto podatność na podstawowy atak XSS (Cross-Site Scripting). Brak odpowiedniej neutralizacji znaczników HTML związanych ze skryptami umożliwia atakującemu wstrzyknięcie złośliwego kodu JavaScript.

CVE-2026-54889
Średnie

Podatność XSS w bibliotece mdex dla Elixira pozwala atakującemu na wstrzyknięcie kodu JavaScript poprzez nieprawidłową walidację schematów URL w przetwarzaniu Markdown do Quill Delta. Atakujący może umieścić złośliwy link z schematem javascript: w tekście Markdown, który zostanie bez zmian skopiowany do atrybutu Delta, a następnie wykonany w przeglądarce ofiary po renderowaniu do HTML.

CVE-2026-54888
Średnie

Podatność w bibliotece mdex (oraz mdex_native) umożliwia atak DoS poprzez dostarczenie głęboko zagnieżdżonego dokumentu Markdown. Rekurencyjne funkcje konwertujące nie sprawdzają maksymalnej głębokości, co prowadzi do przepełnienia stosu C i awarii całego węzła BEAM.

CVE-2026-53429
Średnie

W bibliotekach mdex i mdex_native wykryto podatność polegającą na braku zwalniania pamięci po zakończeniu jej użytkowania. Atakujący może wysłać dokument zawierający znaczniki escaped-tag, co powoduje trwały wyciek pamięci w natywnym kodzie renderującym (Rust NIF). Każde renderowanie takiego dokumentu prowadzi do nieograniczonego wzrostu zużycia pamięci, aż do wyczerpania zasobów i awarii procesu BEAM.

CVE-2026-43746
Średnie

W przeglądarce Safari wykryto podatność use-after-free, która została zaadresowana poprzez ulepszone zarządzanie pamięcią. Problem został naprawiony w wersjach Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego crasha Safari.

CVE-2026-43745
Średnie

W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność polegającą na zapisie poza dozwolonym zakresem pamięci. Problem został rozwiązany poprzez poprawę walidacji danych wejściowych.

CVE-2026-43743
Średnie

W systemach iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2 wykryto podatność typu race condition, która została załatana poprzez ulepszone zarządzanie stanem. Luka umożliwia aplikacji spowodowanie nieoczekiwanego zakończenia działania systemu.

CVE-2026-43742
Średnie

Podatność use-after-free w Safari została naprawiona poprzez ulepszone zarządzanie pamięcią. Problem występuje w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zakończenia procesu.

CVE-2026-43740
Średnie

Podatność w Safari i systemach Apple umożliwia ujawnienie pamięci procesu podczas przetwarzania złośliwie spreparowanych treści internetowych. Problem został rozwiązany poprzez poprawę obsługi pamięci.

CVE-2026-43734
Średnie

W przeglądarce Safari oraz systemach iOS, iPadOS i macOS Tahoe wykryto podatność typu use-after-free. Problem został rozwiązany poprzez ulepszone zarządzanie pamięcią. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zakończenia działania procesu.

CVE-2026-43732
Średnie

Podatność związana z obsługą ścieżek w przeglądarce Safari i systemach Apple. Problem został rozwiązany poprzez poprawę walidacji. Aktualizacje dostępne w Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2.

CVE-2026-43727
Średnie

W Safari 26.5.2, iOS 26.5.2, iPadOS 26.5.2 oraz macOS Tahoe 26.5.2 naprawiono podatność use-after-free. Przetwarzanie złośliwie spreparowanych treści internetowych może prowadzić do nieoczekiwanego zamknięcia Safari.

PoprzedniaStrona 27 z 522Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS