Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-53342
Nieznane

W jądrze Linux dla architektury ARM64 brakowało wywołania pagetable_dtor() podczas zwalniania stron tabel stron usuwanych na gorąco (hot-removed). Powodowało to błędny stan strony, wycieki alokacji blokady tabeli stron (PTL) oraz nieprawidłowe statystyki NR_PAGETABLE.

CVE-2026-53341
Niskie ryzyko· EPSS 5%

W jądrze Linux wykryto podatność use-after-free (UAF) w funkcji may_decode_fh() w mechanizmie fhandle. Problem wynika z odczytu pola mount::mnt_ns bez odpowiedniego blokowania, co umożliwia wyścig podczas odmontowywania i zwalniania przestrzeni nazw montowania. Atakujący może wykorzystać tę lukę do wycieku danych, zapętlenia lub awarii systemu.

CVE-2026-53340
Nieznane

W jądrze Linux w sterowniku i2c-imx wykryto niespójność w zarządzaniu zegarem i stanem pinctrl podczas operacji wstrzymania/wznowienia w runtime PM. Błąd powoduje, że w przypadku niepowodzenia przełączenia pinctrl do stanu uśpienia, zegar pozostaje wyłączony, co prowadzi do awarii systemu przy kolejnym dostępie do sprzętu.

CVE-2026-53339
Nieznane

W sterowniku i2c-qcom-cci dla kontrolera Qualcomm CCI wykryto błąd powodujący dereferencję pustego wskaźnika (NULL pointer dereference) podczas odłączania urządzenia lub usuwania sterownika. Problem występuje, gdy tylko jeden z dwóch magistral I2C jest zainicjowany, a funkcja cci_remove() próbuje zatrzymać wszystkie magistrale, wywołując cci_halt() na niezainicjowanym obiekcie synchronizacji (completion).

CVE-2026-53338
Nieznane

W jądrze Linux wykryto podatność w sterowniku sieciowym airoha, gdzie funkcja airoha_qdma_init_hfwd_queues() wywołuje of_reserved_mem_lookup() bez sprawdzenia, czy zwrócony wskaźnik nie jest NULL. Może to prowadzić do dereferencji wskaźnika NULL i awarii systemu.

CVE-2026-53337
Nieznane

W jądrze Linux w sterowniku bonding wykryto podatność polegającą na dereferencji wskaźnika NULL w funkcji bond_do_ioctl(). Wywołanie slave_dbg() przed sprawdzeniem NULL dla slave_dev prowadzi do paniki jądra przy próbie dodania nieistniejącego interfejsu slave przez ioctl.

CVE-2026-53336
Nieznane

W jądrze Linux wykryto podatność w sterowniku nvmem dla układów ONIE-TLV, która powoduje zawieszenie systemu w nieskończonej pętli podczas napotkania nieznanego typu wpisu (np. 0x41). Problem został rozwiązany poprzez zapewnienie inkrementacji offsetu dla nieznanych typów.

CVE-2026-53335
Nieznane

W jądrze Linux w module DAMON_LRU_SORT wykryto podatność polegającą na braku obsługi błędu alokacji kontekstu damon_ctx. Funkcja damon_lru_sort_enabled_store() zakłada, że alokacja zawsze się powiedzie, co prowadzi do dereferencji wskaźnika NULL, gdy alokacja zawiedzie.

CVE-2026-53334
Nieznane

W jądrze Linux wykryto podatność w mechanizmie DAMON_RECLAIM, gdzie funkcja damon_reclaim_enabled_store() zakłada, że alokacja kontekstu damon_ctx zawsze się powiedzie. W przypadku niepowodzenia alokacji dochodzi do dereferencji wskaźnika NULL, co może prowadzić do awarii systemu.

CVE-2026-53333
Nieznane

W jądrze Linux w funkcji mincore_swap() wykryto błąd polegający na tym, że sprawdzenie warunku !CONFIG_SWAP było wykonywane przed obsługą wpisów niebędących swapem (takich jak migracja, uszkodzenia pamięci czy błędy swapin w shmem). Powodowało to fałszywe ostrzeżenia WARN i błędne raportowanie stron jako niereszydentnych w jądrach bez obsługi swapu, ale z włączoną migracją lub obsługą uszkodzeń pamięci.

CVE-2026-53332
Niskie ryzyko· EPSS 6%

W sterowniku slimbus qcom-ngd-ctrl w jądrze Linuxa występuje podatność polegająca na rejestracji callbacków przed utworzeniem NGD (Next Generation Device). Powoduje to, że wywołania zwrotne działają na niezainicjalizowanych danych, co prowadzi do błędów podczas uruchamiania płyt.

CVE-2026-53331
Nieznane

W sterowniku slimbus dla układów Qualcomm (qcom-ngd-ctrl) wykryto potencjalny zakleszczający się blokadę (deadlock) spowodowaną odwrotną kolejnością blokowania tx_lock i ctrl->lock. Podczas powiadomienia o SSR/PDR down, blokada tx_lock jest przechwytywana, a następnie wywoływana jest funkcja slim_report_absent(), która próbuje przechwycić ctrl->lock, co prowadzi do odwrotnej kolejności blokad i możliwego zakleszczenia.

CVE-2026-53330
Nieznane

W jądrze Linux w sterowniku DRM dla AMD Display wykryto podatność na odczyt poza zakresem w funkcji dp_get_eq_aux_rd_interval(). Tablica aux_rd_interval w strukturze dc_lttpr_caps była zadeklarowana z 7 elementami, ale parametr offset może przyjąć wartość 8, gdy urządzenie zgłasza 8 repeaterów LTTPR, co prowadzi do odczytu poza przydzieloną pamięcią.

CVE-2026-53329
Niskie ryzyko· EPSS 9%

W jądrze Linux w sterowniku graficznym AMD Display wykryto podatność polegającą na przepełnieniu arytmetyki przy obliczaniu rozmiaru alokacji pamięci w funkcji dal_vector_reserve(). Użycie arytmetyki uint32_t może spowodować zawinięcie wyniku do małej wartości, co prowadzi do przydzielenia zbyt małego bufora i przepełnienia sterty przy kolejnych operacjach.

CVE-2026-53328
Nieznane

W jądrze Linux wykryto ostrzeżenie WARN w funkcji scx_cgroup_move_task() podczas migracji zadań przez scheduler sched_ext. Problem występuje, gdy systemd modyfikuje subtree_control, a wskaźnik cgrp_moving_from jest NULL, co jest poprawnym scenariuszem migracji CSS, a nie brakującym przygotowaniem. Usunięto ostrzeżenie, aby uniknąć fałszywych alarmów.

CVE-2026-53327
Niskie ryzyko· EPSS 6%

W systemie Linux wykryto podatność w mechanizmie debugobjects. Funkcja fill_pool() wywołuje rtlock_lock(), które sprawdza, czy current::pi_blocked_on jest ustawione, co może prowadzić do asercji i potencjalnego zakłócenia łańcucha dziedziczenia priorytetów na jądrach z włączonym RT.

CVE-2026-53326
Niskie ryzyko· EPSS 6%

W jądrze Linux wykryto podatność w mechanizmie debugobjects, która powoduje ostrzeżenie lockdep o niespójności blokad podczas wczesnego rozruchu na systemach ARM64 z włączonym PREEMPT_RT. Problem występuje, gdy przerwania sprzętowe są obsługiwane przed uruchomieniem planisty, a próba uzupełnienia puli obiektów debugowania w kontekście przerwania może prowadzić do zakleszczenia.

CVE-2026-13603
Krytyczne

Wtyczka pretix-oppwa do systemu pretix niebezpiecznie łączyła parametr resourcePath z URL-em API, co pozwalało atakującemu przekierować żądanie na własny serwer i przechwycić token dostępu do systemu płatności Oppwa. Luka została załatana poprzez ścisłą walidację URL-i API.

CVE-2026-8387
Niskie

Podatność w bibliotece allegroai/clearml w wersjach do 1.16.5 umożliwia względne przechodzenie ścieżek podczas rozpakowywania archiwów .zip metodą ZipFile.extractall() w StorageManager._extract_to_cache(). Brak walidacji ścieżek pozwala atakującemu na zapis dowolnych plików w systemie.

CVE-2026-5120
Wysokie

Podatność polegająca na wyścigu (Race Condition) w oprogramowaniu BIOVIA Workbook w wersjach od 2021 do 2026 umożliwia użytkownikowi dostęp do nieautoryzowanych danych innego użytkownika.

PoprzedniaStrona 58 z 4520Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS