Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-13944
Niskie

W Google Chrome na Mac przed wersją 150.0.7871.47 stwierdzono nieprawidłową implementację w komponencie DataTransfer. Zdalny atakujący, który nakłonił użytkownika do wykonania określonych gestów interfejsu, mógł wyciekać dane między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-13942
Niskie

Podatność w implementacji przechwytywania wideo w przeglądarce Google Chrome na systemie ChromeOS przed wersją 150.0.7871.47 umożliwia lokalnemu atakującemu fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML.

CVE-2026-13939
Niskie

Podatność w WebShare w Google Chrome na Androidzie przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może sfałszować interfejs użytkownika za pomocą spreparowanej strony HTML.

CVE-2026-9836
Niskie

IBM InfoSphere Information Server w wersjach od 11.7.0.0 do 11.7.1.6 zawiera podatność na ujawnienie informacji. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych.

CVE-2026-58371
Niskie

Podatność w SeaweedFS przed wersją 4.30 powoduje, że parametr wywołania zwrotnego (callback) jest odbijany bez walidacji w odpowiedziach JSON z typem MIME application/javascript. Brak nagłówka X-Content-Type-Options: nosniff oraz listy dozwolonych domen CORS umożliwia atakującemu wczytanie odpowiedzi z dowolnego punktu końcowego JSON (w tym nieuwierzytelnionych) za pomocą znacznika <script> z zewnętrznej strony.

CVE-2026-10654
Niskie

W stosie Bluetooth Classic RFCOMM hosta Zephyra (subsys/bluetooth/host/classic/rfcomm.c) występuje wyścig (race condition) podczas jednoczesnego zrywania sesji dwukierunkowej. Gdy lokalne urządzenie inicjuje zakończenie sesji (stan BT_RFCOMM_STATE_DISCONNECTING, wysłany DISC, włączony timer RTX), a zdalny peer jednocześnie wysyła własną ramkę DISC dla dlci 0, funkcja rfcomm_handle_disc() wywołuje rfcomm_session_disconnected(), która bezwarunkowo przełącza sesję w stan BT_RFCOMM_STATE_DISCONNECTED bez wywołania bt_l2cap_chan_disconnect(). Powoduje to trwałe zablokowanie sesji: kanał L2CAP nie jest zwalniany, a slot w tablicy bt_rfcomm_pool[] nie jest odzyskiwany.

CVE-2026-4360
Niskie

Funkcja Tarfile.extract() nieprawidłowo przekazuje parametr filtra podczas wyodrębniania dowiązań twardych. System wyodrębniający dane z niezaufanych archiwów tar może zapisać pliki z nieoczekiwanym uid/gid, mimo że użytkownik przekazał filter='data' do funkcji extract().

CVE-2026-13758
Niskie

Podatność w bibliotece CryptX dla Perla przed wersją 0.088_001 powoduje, że porównanie tagów uwierzytelniania AEAD w ścieżce decrypt_done nie jest wykonywane w stałym czasie. Funkcja decrypt_done($tag) używa memNE (memcmp() != 0), co przerywa działanie przy pierwszej różnej bajcie, przez co czas wykonania zależy od liczby pasujących początkowych bajtów.

CVE-2026-53427
Niskie

W bibliotece MDEx wykryto podatność na ataki XSS (stored i reflected) poprzez nieprawidłową neutralizację danych wejściowych w Markdown. Atakujący może wstrzyknąć dowolny kod HTML/JavaScript, który wykona się w przeglądarce każdego użytkownika wyświetlającego przetworzoną treść.

CVE-2026-57946
Niskie

Podatność w Invidious przed wersją 2.20260626.0 umożliwia nieuwierzytelnionym atakującym odczytanie zawartości prywatnych playlist poprzez endpoint RSS feed. Atakujący może podać identyfikator playlisty, aby uzyskać pełną listę filmów, adres e-mail właściciela oraz powiązane wpisy wideo bez żadnego uwierzytelnienia.

CVE-2026-13746
Niskie

W Snowflake CLI przed wersją 3.19 stwierdzono podatność polegającą na nieprawidłowej neutralizacji lokalnych parametrów CLI, co umożliwiało niezamierzone wykonanie poleceń SQL. Atakujący mógł wykorzystać ten problem poprzez dostarczenie spreparowanych wartości do podatnych poleceń Cortex SQL lub ścieżek wyświetlania obiektów, powodując wykonanie niezamierzonego SQL w kontekście sesji użytkownika.

CVE-2026-13587
Niskie

W bibliotece PcapPlusPlus 25.05 w funkcji parse_by_block_type pliku light_pcapng.c występuje podatność na przepełnienie bufora sterty. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem captured_packet_length, jednak wymaga to wysokiej złożoności i jest trudne do przeprowadzenia.

CVE-2026-13574
Niskie

W bibliotece LLVM (projekt llvm-project) do wersji 22.1.6 wykryto podatność w funkcji GCRelocateInst::getBasePtr w pliku IntrinsicInst.cpp. Manipulacja danymi wejściowymi w obsłudze plików Bitcode powoduje przepełnienie bufora sterty. Atak może być przeprowadzony lokalnie, a exploit został publicznie ujawniony.

CVE-2026-13573
Niskie

W bibliotece llvm-project do wersji 22.1.6 wykryto podatność w funkcji llvm::StringMap::insert w komponencie ValueSymbolTable. Manipulacja danymi prowadzi do przepełnienia bufora na stosie. Atak wymaga dostępu lokalnego, a exploit został opublikowany.

CVE-2026-13570
Niskie

W systemie SourceCodester Inventory Management System 1.0 wykryto podatność na atak XSS w pliku /api/users_handler.php. Manipulacja argumentem full_name w endpointcie rejestracji użytkownika umożliwia zdalne wykonanie skryptu. Exploit jest publicznie dostępny.

CVE-2026-13558
Niskie

W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.

CVE-2025-0824
Niskie

W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.

CVE-2026-13523
Niskie

W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.

CVE-2026-13514
Niskie

W aplikacji Chess Play and Learn na Androida do wersji 4.9.42 wykryto słabość związaną z przetwarzaniem pliku AndroidManifest.xml w komponencie com.chess. Manipulacja tym plikiem powoduje ujawnienie pliku kopii zapasowej poza kontrolowaną strefę. Atak wymaga fizycznego dostępu do urządzenia.

CVE-2026-13511
Niskie

W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

PoprzedniaStrona 4 z 63Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS