Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2019-6293
Niskie

W funkcji mark_beginning_as_normal w pliku nfa.c w wersji 2.6.4 narzędzia flex odkryto problem związany z wyczerpaniem stosu. Problem ten występuje w wyniku rekurencyjnych wywołań tej funkcji w określonych scenariuszach z dużą ilością znaków '*'.

CVE-2026-44582
Niskie

Next.js to framework React do budowania aplikacji webowych typu full-stack. W wersjach od 13.4.6 do przed 15.5.16 oraz 16.2.5, odpowiedzi komponentów serwera React mogą być podatne na zanieczyszczenie pamięci podręcznej w przypadkach, gdy wykorzystuje się wspólne pamięci podręczne z niewystarczającą partycjonowaniem odpowiedzi.

CVE-2025-61144
Niskie

W wersjach libtiff do 4.7.1 odkryto podatność na przepełnienie stosu w funkcji readSeparateStripsIntoBuffer. Może to prowadzić do nieautoryzowanego dostępu do pamięci.

CVE-2026-29169
Niskie

W Apache HTTP Server w wersji 2.4.66 i wcześniejszych występuje dereferencja wskaźnika NULL w mod_dav_lock, co może pozwolić atakującemu na zablokowanie serwera za pomocą złośliwego żądania. Moduł mod_dav_lock nie jest używany wewnętrznie przez mod_dav ani mod_dav_fs.

CVE-2026-35192
Niskie

W wersjach 6.0 przed 6.0.5 oraz 5.2 przed 5.2.14 zidentyfikowano problem związany z nagłówkami odpowiedzi, które nie różnią się w przypadku ciasteczek, jeśli sesja nie została zmodyfikowana, a `SESSION_SAVE_EVERY_REQUEST` jest ustawione na `True`. Zdalny atakujący może przejąć sesję użytkownika po odwiedzeniu przez niego publicznej strony z pamięci podręcznej.

GHSA-g7r4-m6w7-qqqr
Niskie

Serwer deweloperski zawiera podatność na przejście ścieżki w systemie Windows podczas serwowania plików z `servedir`. Użycie `path.Clean()`, które normalizuje jedynie separatory ukośnika w przód `/`, zamiast funkcji normalizacji ścieżki świadomej systemu Windows, umożliwia skonstruowanie złośliwych żądań.

CVE-2026-6907
Niskie

W wersjach 6.0 przed 6.0.5 oraz 5.2 przed 5.2.14 odkryto problem w `django.middleware.cache.UpdateCacheMiddleware`, który błędnie buforuje żądania z nagłówkiem `Vary` zawierającym gwiazdkę (`'*'`). Może to prowadzić do przechowywania i serwowania prywatnych danych.

CVE-2026-29168
Niskie

W Apache HTTP Server w module mod_md występuje podatność związana z alokacją zasobów bez ograniczeń lub throttlingu, która dotyczy danych odpowiedzi OCSP. Problem ten wpływa na wersje od 2.4.30 do 2.4.66.

CVE-2025-65082
Niskie

W podatności CVE-2025-65082 występuje niewłaściwe neutralizowanie sekwencji ucieczki, meta lub kontrolnych w serwerze Apache HTTP. Problem ten polega na tym, że zmienne środowiskowe ustawione w konfiguracji Apache nieoczekiwanie zastępują zmienne obliczane przez serwer dla programów CGI.

CVE-2025-55753
Niskie

Przepełnienie całkowitej liczby całkowitej w przypadku nieudanej odnowy certyfikatu ACME prowadzi do ustawienia timera opóźnienia na 0 po około 30 dniach niepowodzeń w domyślnych konfiguracjach. W rezultacie próby odnowienia certyfikatu są powtarzane bez opóźnień, aż do momentu sukcesu.

CVE-2026-2391
Niskie

Opcja `arrayLimit` w bibliotece qs nie egzekwuje limitów dla wartości oddzielonych przecinkami, gdy `comma: true` jest włączone, co pozwala atakującym na spowodowanie odmowy usługi poprzez wyczerpanie pamięci. Jest to obejście egzekwowania limitu tablicy, podobne do obejścia notacji nawiasowej omówionego w GHSA-6.

GHSA-c7w3-x93f-qmm8
Niskie

Podatność występuje, gdy niestandardowy obiekt `envelope` przekazywany do `sendMail()` zawiera właściwość `size` z znakami CRLF (` `). Wartość ta jest bezpośrednio łączona z komendą SMTP `MAIL FROM` bez sanitizacji, co umożliwia wstrzykiwanie dowolnych komend SMTP.

GHSA-442j-39wm-28r2
Niskie

W pliku `lib/handlebars/runtime.js` funkcja `container.lookup()` wykorzystuje `container.lookupProperty()` do weryfikacji dostępu do prototypu, jednak odrzuca zweryfikowany wynik i wykonuje drugą, niechronioną operację dostępu do właściwości (`depths[i][name]`).

CVE-2026-27942
Niskie

fast-xml-parser przed wersją 5.3.8 powodował awarię aplikacji z powodu przepełnienia stosu, gdy użytkownik korzystał z budowniczego XML z opcją `preserveOrder:true`. Wersja 5.3.8 naprawia ten problem.

CVE-2026-3455
Niskie

Wersje pakietu mailparser przed 3.9.3 są podatne na ataki Cross-site Scripting (XSS) poprzez funkcję textToHtml() z powodu niewłaściwego oczyszczania adresów URL w treści e-maili. Atakujący może wykonać dowolne skrypty w przeglądarkach ofiar, dodając dodatkowy znak cudzysłowu " do adresu URL.

CVE-2026-44572
Niskie

Next.js to framework React do budowania aplikacji webowych typu full-stack. W wersjach od 12.2.0 do przed 15.5.16 oraz 16.2.5, zewnętrzny klient mógł wysłać nagłówek x-nextjs-data w normalnym żądaniu do ścieżki obsługiwanej przez middleware, która zwracała przekierowanie.

CVE-2026-6333
Niskie

Wersje Mattermost 11.5.x do 11.5.1 oraz 10.11.x do 10.11.13 nie weryfikują nagłówka Host podczas konstruowania URL-i odpowiedzi dla niestandardowych poleceń slash. To pozwala uwierzytelnionemu atakującemu na przekierowanie odpowiedzi poleceń slash na serwer kontrolowany przez atakującego za pomocą sfałszowanego nagłówka Host.

CVE-2025-61143
Niskie

W libtiff w wersjach do 4.7.1 odkryto podatność na dereferencję wskaźnika NULL w komponencie libtiff/tif_open.c. Może to prowadzić do nieoczekiwanego zachowania aplikacji.

CVE-2026-22795
Niskie

W aplikacji przetwarzającej źle sformatowany plik PKCS#12 może wystąpić dereferencja nieprawidłowego lub pustego wskaźnika. Może to prowadzić do awarii aplikacji.

CVE-2024-7042
Niskie

Podatność w klasie GraphCypherQAChain w wersjach 0.2.5 i wcześniejszych langchain-ai/langchainjs umożliwia wstrzykiwanie poleceń, co prowadzi do możliwości SQL injection. Umożliwia to nieautoryzowaną manipulację danymi oraz ich wyciek.

PoprzedniaStrona 57 z 62Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS