Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W przeglądarkach Firefox 134, Thunderbird 134, Firefox ESR 128.6 oraz Thunderbird 128.6 występują błędy związane z bezpieczeństwem pamięci. Niektóre z tych błędów wykazywały oznaki uszkodzenia pamięci, co może umożliwić uruchomienie dowolnego kodu.
W przeglądarkach Firefox i Thunderbird występują błędy związane z bezpieczeństwem pamięci w wersjach 134 oraz ich wersjach ESR. Niektóre z tych błędów mogą prowadzić do uszkodzenia pamięci, co potencjalnie umożliwia wykonanie dowolnego kodu.
Podatność CVE-2025-1009 pozwalała atakującemu na wywołanie błędu use-after-free za pomocą spreparowanych danych XSLT, co mogło prowadzić do potencjalnie wykorzystywalnego awarii. Problem został naprawiony w wersjach Firefox 135, Firefox ESR 115.20, Firefox ESR 128.7, Thunderbird 128.7 oraz Thunderbird 135.
W modemie występuje możliwe zapisanie danych poza przydzielonym zakresem z powodu braku sprawdzenia granic. Może to prowadzić do zdalnego wykonania kodu, jeśli użytkownik połączy się z fałszywą stacją bazową kontrolowaną przez atakującego, bez potrzeby dodatkowych uprawnień do wykonania.
Dumb Drop to aplikacja do przesyłania plików, która zawiera podatność na traversję ścieżki. Użytkownicy z uprawnieniami do przesyłania plików mogą nadpisywać dowolne pliki systemowe, co może prowadzić do wstrzykiwania złośliwych ładunków do plików uruchamianych na harmonogramie lub w wyniku działań serwisu.
Wersje PrivX od 18.0 do 36.0 mają niewystarczającą walidację podpisów kluczy publicznych podczas korzystania z natywnych połączeń SSH przez port proxy. To umożliwia istniejącemu kontu PrivX 'konto A' podszywanie się pod inne istniejące konto PrivX 'konto B' i uzyskanie dostępu do hostów SSH, do których 'konto B' ma dostęp.
W SDK C++ firmy Qualisys w wersji commit a32a21a zidentyfikowano wiele przepełnień bufora stosu w funkcjach GetCurrentFrame, SaveCapture oraz LoadProject.
Wersja 3.8.2 aplikacji TeamCal Neo zawiera podatność na atak typu SQL injection. Atakujący może wykorzystać złośliwe zapytanie SQL poprzez parametr 'abs' w pliku '/teamcal/src/index.php', co pozwala na dostęp do wszystkich informacji w bazie danych.
Produkty dotknięte tą podatnością zawierają lukę w procesie obsługi poleceń RPC w chmurze urządzeń, co może umożliwić zdalnym atakującym przejęcie kontroli nad dowolnymi urządzeniami podłączonymi do chmury.
Monitor pacjenta Contec Health CMS8000 jest podatny na zapis poza granicami, co może umożliwić atakującemu wysyłanie specjalnie sformatowanych żądań UDP w celu zapisania dowolnych danych. Może to prowadzić do zdalnego wykonania kodu.
Wtyczka iControlWP – Multiple WordPress Site Manager dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do i włącznie z 4.4.5 poprzez deserializację nieufnych danych z parametru reqpars. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Problem z przechodzeniem ścieżek w funkcjach ZipUtils.unzip i TarUtils.untar w Deep Java Library (DJL) na wszystkich platformach umożliwia złośliwemu użytkownikowi zapis plików w dowolnych lokalizacjach.
Podatność w systemie zarządzania procesami produkcyjnymi Safety w wersji 1.0 umożliwia zdalnemu atakującemu eskalację uprawnień, wykonanie dowolnego kodu oraz uzyskanie poufnych informacji poprzez parametry hasła i numeru konta.
mySCADA myPRO nieprawidłowo neutralizuje żądania POST wysyłane na określony port z informacjami o e-mailach. Ta podatność może być wykorzystana przez atakującego do wykonania dowolnych poleceń na zaatakowanym systemie.
mySCADA myPRO nieprawidłowo neutralizuje żądania POST wysyłane na określony port z informacjami o wersji. Ta podatność może być wykorzystana przez atakującego do wykonania dowolnych poleceń na zaatakowanym systemie.
W podatności CVE-2024-48852 w FLEXON występuje problem z wstawianiem wrażliwych informacji do pliku dziennika. Niektóre informacje mogą być niewłaściwie ujawnione przez dostęp HTTPS.
W podatności CVE-2024-48849 występuje brak walidacji pochodzenia w WebSocketach w systemie FLXEON. Zarządzanie sesjami nie było wystarczające, aby zapobiec nieautoryzowanym żądaniom HTTPS. Problem ten dotyczy wersji FLXEON do 9.3.4.
Podatność CVE-2022-3365 dotyczy serwera Remote Mouse firmy Emote Interactive, który opiera się na prostym szyfrze podstawieniowym oraz domyślnym haśle, gdy użytkownik nie ustawi własnego. Atakujący mogą wykorzystać tę lukę do wstrzykiwania poleceń systemowych przez niestandardowy protokół kontrolny produktu.
Wykryto problem z zapisem poza przydzielonym obszarem pamięci, który został rozwiązany poprzez poprawę walidacji danych wejściowych. Problem ten został naprawiony w iOS 18.3, iPadOS 18.3, macOS Sequoia 15.3, macOS Sonoma 14.7.3, macOS Ventura 13.7.3 oraz visionOS 2.3.
Problem dotyczy niewłaściwego usuwania informacji w aplikacji Wiadomości, co może prowadzić do ujawnienia danych kontaktowych użytkownika w logach systemowych. Został on naprawiony w macOS Sequoia 15.3, macOS Sonoma 14.7.3 oraz macOS Ventura 13.7.3.

