Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W FreeSWITCH przed wersją 1.11.1 występuje podatność w obsłudze żądań HTTP mod_verto, która prowadzi do przepełnienia bufora na stercie. Z powodu nieodpowiedniego ograniczenia rozmiaru bufora, atakujący może wykorzystać tę lukę do przepełnienia bufora o wielkości do ~8 MiB.
W wersjach przed 1.11.1 FreeSWITCH ma podatność w funkcji esl_recv_event(), która nie sprawdza poprawności wartości Content-Length. Złośliwy użytkownik lub atakujący typu man-in-the-middle może wysłać ramkę z ujemną wartością Content-Length, co może prowadzić do uszkodzenia sterty lub awarii procesu.
W Azure Stack Edge występuje podatność, która pozwala na zewnętrzną kontrolę nazwy pliku lub ścieżki, co umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.
Przepełnienie lub owinięcie licznika w Windows HTTP.sys umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.
Nieprawidłowa walidacja danych wejściowych w Visual Studio Code umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień przez sieć.
W jądrze systemu Windows występuje podatność typu use after free, która pozwala nieautoryzowanemu atakującemu na wykonanie kodu przez sieć.
W systemie Windows DHCP Server występuje podatność, która pozwala nieautoryzowanemu atakującemu na manipulację w sieci.
Przepełnienie bufora na stosie w kliencie DHCP systemu Windows umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.
W systemie Windows TCP/IP występuje przepełnienie bufora oparte na stercie, które może zostać wykorzystane przez nieautoryzowanego atakującego do podniesienia uprawnień w sąsiedniej sieci.
DedeCMS w wersji 5.7.118 jest podatny na wykonanie poleceń w pliku file_manage_control.php.
Usługa przetwarzania wiadomości kryptograficznych (CMS) nie wykonuje wystarczającej walidacji wejścia w polach długości szyfru i tagu w kontenerach AuthEnvelopedData, co prowadzi do różnych potencjalnych kompromisów.
Podatność w Nuance PowerScribe umożliwia deserializację niezaufanych danych, co pozwala nieautoryzowanemu atakującemu na zdalne wykonanie kodu w sieci.
W podatności CVE-2026-8025 występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w platformie CBS firmy MOSK Information Technologies Ltd.
W Fortinet FortiSandbox występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów w poleceniach OS. Atakujący bez uwierzytelnienia może wykonać nieautoryzowane polecenia za pomocą odpowiednio skonstruowanych żądań HTTP.
W podatności CVE-2026-10523 w Ivanti Sentry przed wersjami R10.5.2, R10.6.2 i R10.7.1 występuje luka w omijaniu uwierzytelniania, która pozwala zdalnemu, nieautoryzowanemu atakującemu na tworzenie dowolnych kont administracyjnych oraz uzyskanie pełnego dostępu administracyjnego.
W podatności CVE-2026-10520 w Ivanti Sentry przed wersjami R10.5.2, R10.6.2 i R10.7.1 występuje luka typu OS Command Injection, która pozwala zdalnemu, nieautoryzowanemu użytkownikowi na uzyskanie zdalnego wykonania kodu na poziomie roota.
W oprogramowaniu E-İmar firmy Netcad Software Inc. występuje podatność na wstrzykiwanie SQL z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem dotyczy wersji E-İmar od 2.10.1.0 do przed 3.0.2.
W jądrze Linux w sterowniku RDMA/rxe wykryto podatność polegającą na nieprawidłowej konwersji adresu iova na va dla regionów pamięci (MR) o rozmiarze strony różnym od PAGE_SIZE. Błąd powoduje błędne obliczanie wskaźników przy dostępie do pamięci, co może prowadzić do paniki jądra.
W jądrze Linux wykryto podatność w mechanizmie KVM dla architektury ARM64, dotyczącą pamięci podręcznej translacji VGIC-ITS. Funkcja unieważniająca tę pamięć podręczną może wielokrotnie zwalniać to samo odniesienie, gdy jest wywoływana współbieżnie z różnych kontekstów, co prowadzi do przedwczesnego zwolnienia obiektu.
Wtyczka Insert PHP dla WordPressa w wersjach przed 3.3.1 zawiera podatność na wstrzykiwanie kodu PHP, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu PHP poprzez wstrzykiwanie złośliwych shortcode'ów przez REST API WordPressa.

