Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność w implementacji KTLS w jądrze FreeBSD powoduje, że podczas odbioru danych przez KTLS na połączeniu loopback, dane pochodzące z sendfile(2) są odszyfrowywane w miejscu, nadpisując stronę pamięci podręcznej pliku zamiast prywatnej kopii. Umożliwia to nieuprzywilejowanemu użytkownikowi lokalnemu nadpisanie zawartości plików, które może odczytać, poprzez wysłanie ich przez połączenie loopback z włączonym odbiorem KTLS.
W parserze PSD programu FastStone Image Viewer w wersji 8.3 występuje przepełnienie liczby całkowitej. Umożliwia ono atakującemu wykonanie dowolnego kodu lub spowodowanie odmowy usługi (DoS) poprzez dostarczenie spreparowanego pliku PSD.
Podatność Local File Inclusion (LFI) wtyczki Goya Core w wersjach starszych niż 1.0.9.4 umożliwia osobie z rolą kontrybutora odczyt dowolnych plików na serwerze.
Wtyczka Splash - Sport Club WordPress Theme dla koszykówki, piłki nożnej i hokeja w wersji 4.4.3 i starszych zawiera podatność na lokalne dołączanie plików (LFI) przez współtwórców. Umożliwia to atakującemu z uprawnieniami współtwórcy odczyt wrażliwych plików na serwerze.
Podatność umożliwia atak CSRF bez uwierzytelnienia we wtyczce Eagle Booking w wersjach do 1.3.4.3. Atakujący może nakłonić administratora do wykonania niezamierzonych działań, np. zmiany ustawień lub dodania nowych użytkowników.
Podatność w Peplink InControl 2 do wersji 2.14.2 przed 2026-06-03 umożliwia ominięcie reguł kontroli dostępu dla niektórych endpointów /rest/o/{orgId} poprzez użycie średnika.
Podatność w Apache Kerby umożliwia ominięcie sprawdzenia pre-autoryzacji Kerberos poprzez wysłanie pakietu PA-DATA z nierozpoznanym lub nieobsługiwanym typem. Atakujący może uzyskać dostęp bez poprawnego uwierzytelnienia.
Podatność typu OS Command Injection w modułach Dell Container Storage Modules (csi-powerstore, csi-unity, csi-powerflex, csi-powermax w wersji 2.16.0) pozwala wysoko uprzywilejowanemu atakującemu z dostępem zdalnym na wykonanie dowolnych poleceń systemu operacyjnego.
Podatność w bibliotece libnfs do wersji 6.0.2 przed commit 935b8db powoduje niedomiar liczby całkowitej w polu xid w funkcji READ_IOVEC w pliku lib/socket.c. Problem występuje podczas połączenia ze spreparowanym serwerem NFS, gdy oczekiwany rozmiar PDU przekracza bezwzględny rozmiar PDU z xid/znacznika rekordu.
Podatność w systemie Johnson & Johnson Audit Tracking Management System (ATMS) przed wersją z 21 kwietnia 2026 roku umożliwia nieautoryzowany dostęp do protokołów i transkryptów spotkań.
Podatność w systemie rekrutacyjnym Johnson & Johnson Campus Recruiting przed 31 października 2025 roku umożliwia nieautoryzowany wgląd w dane osobowe kandydatów oraz notatki sporządzone przez rekruterów.
W KubeVirt znaleziono poważną lukę w proxy migracji. Gdy w zasobie niestandardowym KubeVirt ustawiono spec.configuration.migrations.disableTLS na true, docelowy virt-handler tworzy zwykły nasłuch TCP na wszystkich interfejsach (0.0.0.0/::) na losowym porcie bez uwierzytelniania, listy dozwolonych peerów ani tokena uzgadniania. Ten nasłuch proxy bezpośrednio do gniazda kontrolnego virtqemud docelowego virt-launchera.
Podatność typu Code Injection w Trellix Network Security CM i NX umożliwia lokalnie uwierzytelnionemu administratorowi wykonanie dowolnego kodu poprzez interfejs webowy i szczegóły artefaktu Alert.
Podatność w bibliotece Bytes::Random::Secure::Tiny dla Perla (wersje do 1.011) powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Jeśli obiekt zostanie zainicjalizowany przed forkiem, wszystkie procesy będą produkować identyczne ciągi losowe.
Podatność w bibliotece Bytes::Random::Secure dla Perla do wersji 0.29 powoduje współdzielenie wewnętrznego stanu generatora liczb losowych (PRNG) pomiędzy procesami potomnymi po wykonaniu fork(). Gdy obiekt jest inicjalizowany przed forkiem lub używany jest interfejs funkcyjny, procesy potomne otrzymują identyczne strumienie losowe.
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na atak typu format string w komponencie vlsvr. Luka występuje w ścieżce logowania, gdzie nieprawidłowo obsługiwane są dane wejściowe podczas formatowania komunikatów dziennika. Zdalny, nieuwierzytelniony atakujący może wysłać spreparowane dane logowania, co może prowadzić do ujawnienia informacji, uszkodzenia pamięci lub odmowy usługi.
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w pliku onvif.cgi występuje podatność na zapis poza dozwolonym zakresem pamięci. Brak odpowiedniego sprawdzania granic podczas przetwarzania danych w żądaniu HTTP umożliwia nieuwierzytelnionemu atakującemu zdalne spowodowanie uszkodzenia pamięci i odmowy usługi (DoS) poprzez wysłanie spreparowanego żądania z nadmierną ilością danych.
W oprogramowaniu urządzeń GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na zdalną odmowę usługi (DoS). Luka wynika z braku walidacji wymaganych metadanych żądania HTTP przed ich użyciem, co prowadzi do dereferencji wskaźnika NULL i awarii procesu.
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych wykryto podatność na przepełnienie bufora w skrypcie IEEE8021x_upload.cgi. Problem wynika z braku odpowiedniego sprawdzania granic podczas przetwarzania wartości nazw plików w danych przesyłanych metodą multipart. Zdalny, nieuwierzytelniony atakujący może wykorzystać tę podatność, wysyłając spreparowane żądanie uploadu z nadmiernie długimi danymi, co prowadzi do uszkodzenia pamięci i odmowy usługi (DoS).
W urządzeniach GeoVision GV-LPC2011 i GV-LPC2211 w wersji V1.12 i wcześniejszych, w skrypcie IEEE8021x_upload.cgi występuje podatność na wyłuskanie wskaźnika NULL (NULL pointer dereference) bez uwierzytelnienia. Problem wynika z nieprawidłowej walidacji nagłówków przesyłania wieloczęściowego (multipart) podczas przetwarzania pól związanych z certyfikatami. Zdalny atakujący może wysłać spreparowane żądanie wieloczęściowe, powodując awarię procesu CGI i w efekcie odmowę usługi (DoS).

