Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-4882
Krytyczne

Wtyczka User Registration Advanced Fields dla WordPress jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'URAF_AJAX::method_upload' we wszystkich wersjach do 1.6.20 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-37541
Krytyczne

W podatności CVE-2026-37541 występuje przepełnienie bufora w systemie Open Vehicle Monitoring System 3 (OVMS3) w wersji 3.3.005. Nieprawidłowa walidacja pola długości w danych binarnych GVRET umożliwia zdalnym atakującym spowodowanie odmowy usługi lub potencjalne wykonanie dowolnego kodu za pomocą spreparowanych ramek GVRET.

CVE-2026-37539
Krytyczne

W podatności CVE-2026-37539 występuje przepełnienie bufora w wersji 2.0.0 oprogramowania cannelloni, które występuje podczas analizy ramek CAN w funkcjach parseCANFrame oraz decodeFrame. Umożliwia to zdalnym atakującym spowodowanie awarii systemu lub potencjalne wykonanie dowolnego kodu za pomocą spreparowanych ramek CAN FD.

CVE-2026-37534
Krytyczne

W podatności CVE-2026-37534 występuje problem z niedoborem wartości całkowitej w Open-SAE-J1939, co pozwala atakującym na zapis do dowolnej pamięci poprzez spreparowany numer sekwencyjny z ramki CAN.

CVE-2026-37531
Krytyczne

Framework aplikacji AGL w wersjach do 17.1.12 zawiera podatność typu Zip Slip, która umożliwia przejście przez ścieżki oraz warunek wyścigu TOCTOU w procesie instalacji widgetów. Funkcja is_valid_filename nie sprawdza sekwencji przejścia przez katalogi w notacji kropkowej, co pozwala na zapis plików w dowolnym miejscu w systemie plików.

CVE-2026-42473
Krytyczne

W MixPHP Framework w wersjach 2.x do 2.2.17 występuje podatność na niebezpieczną deserializację. Handlerzy sesji i pamięci podręcznej wykorzystują funkcję unserialize() na danych z systemu plików w obiekcie FileHandler.

CVE-2026-42472
Krytyczne

W MixPHP Framework w wersjach 2.x do 2.2.17 występuje podatność na niebezpieczną deserializację. Handler sesji i pamięci podręcznej wykorzystuje funkcję unserialize() na danych z Redis w obiekcie RedisHandler.

CVE-2026-43039
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która polega na braku kopiowania danych pakietu z bufora XDP do struktury skb, co prowadzi do wycieku zawartości pamięci jądra do przestrzeni użytkownika. Dodatkowo, niewłaściwe oznaczanie skb do recyklingu może prowadzić do uszkodzenia stanu puli stron.

CVE-2026-43038
Krytyczne

W jądrze Linux wykryto podatność w funkcji ip6_err_gen_icmpv6_unreach(), gdzie nieczyszczone pole cb[] w skb2 może prowadzić do błędnej interpretacji danych sterujących. Atakujący może wysłać spreparowany pakiet ICMPv4 z opcją CIPSO, co skutkuje odczytem poza zakresem bufora i potencjalnym naruszeniem bezpieczeństwa.

CVE-2026-43037
Krytyczne

W jądrze Linux wykryto podatność w funkcji ip4ip6_err() tunelu IPv6-over-IPv4. Brak wyczyszczenia bufora cb[] w sklonowanym pakiecie (skb2) powoduje błędną interpretację danych jako struktury IPv4, co może prowadzić do odczytu poza zakresem i potencjalnego przepełnienia bufora stosowego.

CVE-2026-42484
Krytyczne

Wersja 7.1.2 programu hashcat zawiera podatność typu przepełnienia bufora w stercie w funkcji hex_to_binary w parserze haszy PKZIP. Atakujący może wykorzystać tę lukę, aby spowodować awarię usługi lub potencjalnie wykonać dowolny kod za pomocą spreparowanego pliku hasza PKZIP.

CVE-2026-42483
Krytyczne

W wersji 7.1.2 hashcata występuje przepełnienie bufora oparte na stercie w parserze haszy Kerberos, co pozwala atakującemu na wywołanie odmowy usługi lub potencjalne wykonanie dowolnego kodu poprzez spreparowany plik haszy Kerberos.

CVE-2026-42482
Krytyczne

W mangle_to_hex_lower() i mangle_to_hex_upper() w hashcat v7.1.2 występuje przepełnienie bufora na stosie, które może prowadzić do odmowy usługi lub wykonania dowolnego kodu. Problem ten występuje przy użyciu pliku reguł lub opcji -j lub -k z hasłami o długości 128 lub więcej znaków.

CVE-2026-31718
Krytyczne

W jądrze Linuxa zidentyfikowano podatność związana z użyciem po zwolnieniu w funkcji __ksmbd_close_fd(). Problem występuje, gdy trwały uchwyt pliku przetrwa rozłączenie sesji, co prowadzi do nieprawidłowego zarządzania blokadami bajtów.

CVE-2026-31705
Krytyczne

W jądrze Linuksa naprawiono podatność, która pozwalała na zapis poza granicami bufora w funkcji smb2_get_ea(). Problem występował z powodu braku sprawdzenia długości bufora przed zastosowaniem wyrównania pamięci, co mogło prowadzić do nadpisania sąsiedniej pamięci jądra.

CVE-2026-42779
Krytyczne

Wersje Apache MINA 2.1.0 do 2.1.11 oraz 2.2.0 do 2.2.6 są podatne na wykonanie dowolnego kodu z powodu braku weryfikacji klas w metodzie AbstractIoBuffer.resolveClass(). Naprawa została wprowadzona w wersjach 2.1.12 i 2.2.7.

CVE-2026-42778
Krytyczne

Poprawka dla CVE-2026-41409 nie została zastosowana w wersjach 2.1.X i 2.2.X Apache MINA. Problem dotyczy niekompletnej poprawki dla CVE-2024-52046, gdzie lista dozwolonych klas do deserializacji została zastosowana zbyt późno.

CVE-2026-7567
Krytyczne

Wtyczka Temporary Login dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.0.0 włącznie. Problem wynika z niewłaściwej walidacji danych wejściowych w funkcji maybe_login_temporary_user(), co pozwala na autoryzację bez ważnego tokena.

CVE-2026-42996
Krytyczne

JS8Call w wersjach 2.3.1 i wcześniejszych oraz JS8Call-improved przed wersją 3.0 zawiera podatność na przepełnienie bufora na stosie, która występuje podczas transmisji radiowej z użyciem @APRSIS GRID, gdy następuje po niej długi lokalizator Maidenhead. Problem ten występuje w funkcji grid2deg w pliku APRSISClient.cpp.

CVE-2026-42994
Krytyczne

Bitwarden CLI w wersji 2026.4.0, pobrany z npm w dniu 22 kwietnia 2026 roku, zawierał złośliwy kod. Incydent ten jest związany z problemem w łańcuchu dostaw Checkmarx.

PoprzedniaStrona 91 z 559Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS