Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-43039
Krytyczne

W jądrze systemu Linux zidentyfikowano podatność, która polega na braku kopiowania danych pakietu z bufora XDP do struktury skb, co prowadzi do wycieku zawartości pamięci jądra do przestrzeni użytkownika. Dodatkowo, niewłaściwe oznaczanie skb do recyklingu może prowadzić do uszkodzenia stanu puli stron.

CVE-2026-43038
Krytyczne

W jądrze Linux wykryto podatność w funkcji ip6_err_gen_icmpv6_unreach(), gdzie nieczyszczone pole cb[] w skb2 może prowadzić do błędnej interpretacji danych sterujących. Atakujący może wysłać spreparowany pakiet ICMPv4 z opcją CIPSO, co skutkuje odczytem poza zakresem bufora i potencjalnym naruszeniem bezpieczeństwa.

CVE-2026-43037
Krytyczne

W jądrze Linux wykryto podatność w funkcji ip4ip6_err() tunelu IPv6-over-IPv4. Brak wyczyszczenia bufora cb[] w sklonowanym pakiecie (skb2) powoduje błędną interpretację danych jako struktury IPv4, co może prowadzić do odczytu poza zakresem i potencjalnego przepełnienia bufora stosowego.

CVE-2026-42484
Krytyczne

Wersja 7.1.2 programu hashcat zawiera podatność typu przepełnienia bufora w stercie w funkcji hex_to_binary w parserze haszy PKZIP. Atakujący może wykorzystać tę lukę, aby spowodować awarię usługi lub potencjalnie wykonać dowolny kod za pomocą spreparowanego pliku hasza PKZIP.

CVE-2026-42483
Krytyczne

W wersji 7.1.2 hashcata występuje przepełnienie bufora oparte na stercie w parserze haszy Kerberos, co pozwala atakującemu na wywołanie odmowy usługi lub potencjalne wykonanie dowolnego kodu poprzez spreparowany plik haszy Kerberos.

CVE-2026-42482
Krytyczne

W mangle_to_hex_lower() i mangle_to_hex_upper() w hashcat v7.1.2 występuje przepełnienie bufora na stosie, które może prowadzić do odmowy usługi lub wykonania dowolnego kodu. Problem ten występuje przy użyciu pliku reguł lub opcji -j lub -k z hasłami o długości 128 lub więcej znaków.

CVE-2026-31718
Krytyczne

W jądrze Linuxa zidentyfikowano podatność związana z użyciem po zwolnieniu w funkcji __ksmbd_close_fd(). Problem występuje, gdy trwały uchwyt pliku przetrwa rozłączenie sesji, co prowadzi do nieprawidłowego zarządzania blokadami bajtów.

CVE-2026-31705
Krytyczne

W jądrze Linuksa naprawiono podatność, która pozwalała na zapis poza granicami bufora w funkcji smb2_get_ea(). Problem występował z powodu braku sprawdzenia długości bufora przed zastosowaniem wyrównania pamięci, co mogło prowadzić do nadpisania sąsiedniej pamięci jądra.

CVE-2026-42779
Krytyczne

Wersje Apache MINA 2.1.0 do 2.1.11 oraz 2.2.0 do 2.2.6 są podatne na wykonanie dowolnego kodu z powodu braku weryfikacji klas w metodzie AbstractIoBuffer.resolveClass(). Naprawa została wprowadzona w wersjach 2.1.12 i 2.2.7.

CVE-2026-42778
Krytyczne

Poprawka dla CVE-2026-41409 nie została zastosowana w wersjach 2.1.X i 2.2.X Apache MINA. Problem dotyczy niekompletnej poprawki dla CVE-2024-52046, gdzie lista dozwolonych klas do deserializacji została zastosowana zbyt późno.

CVE-2026-7567
Krytyczne

Wtyczka Temporary Login dla WordPressa jest podatna na obejście uwierzytelniania w wersjach do 1.0.0 włącznie. Problem wynika z niewłaściwej walidacji danych wejściowych w funkcji maybe_login_temporary_user(), co pozwala na autoryzację bez ważnego tokena.

CVE-2026-42996
Krytyczne

JS8Call w wersjach 2.3.1 i wcześniejszych oraz JS8Call-improved przed wersją 3.0 zawiera podatność na przepełnienie bufora na stosie, która występuje podczas transmisji radiowej z użyciem @APRSIS GRID, gdy następuje po niej długi lokalizator Maidenhead. Problem ten występuje w funkcji grid2deg w pliku APRSISClient.cpp.

CVE-2026-42994
Krytyczne

Bitwarden CLI w wersji 2026.4.0, pobrany z npm w dniu 22 kwietnia 2026 roku, zawierał złośliwy kod. Incydent ten jest związany z problemem w łańcuchu dostaw Checkmarx.

CVE-2026-7546
Krytyczne

W Totolink NR1800X w wersji 9.1.0u.6279_B20210910 wykryto podatność bezpieczeństwa w funkcji find_host_ip komponentu lighttpd. Manipulacja argumentem Host prowadzi do przepełnienia bufora na stosie.

CVE-2026-7538
Krytyczne

Zidentyfikowano podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem proto prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-39858
Krytyczne

W Traefik przed wersjami 2.11.43, 3.6.14 i 3.7.0-rc.2 występuje podatność na ominięcie uwierzytelniania w ForwardAuth i middleware opartym na snippetach. Mechanizm sanityzacji nagłówków nie usuwa aliasów z podkreślnikami (np. X_Forwarded_Proto), które są przekazywane do backendu uwierzytelniającego, umożliwiając atakującemu wstrzyknięcie sfałszowanego kontekstu zaufania.

CVE-2026-35051
Krytyczne

Podatność w Traefiku pozwala na ominięcie uwierzytelniania w middleware ForwardAuth, gdy trustForwardHeader=false jest skonfigurowane, a Traefik działa za zaufanym proxy upstream. Problem został załatany w wersjach 2.11.43, 3.6.14 i 3.7.0-rc.2.

CVE-2026-33447
Krytyczne

CVE-2026-33447 to przepełnienie bufora w funkcji analizy wiadomości klienta Secure Access przed wersją 14.50. Atakujący kontrolujący zmodyfikowany serwer mogą wysłać specjalny pakiet, który może nadpisać małą część pamięci, co potencjalnie prowadzi do uszkodzenia pamięci lub odmowy usługi.

CVE-2026-33446
Krytyczne

CVE-2026-33446 to przepełnienie bufora w podsystemie uwierzytelniania klienta Secure Access przed wersją 14.50. Atakujący kontrolujący zmodyfikowany serwer mogą wysłać specjalny pakiet, który może nadpisać niewielką część pamięci, co potencjalnie prowadzi do uszkodzenia pamięci lub odmowy usługi.

CVE-2026-36767
Krytyczne

Podatność na przejście ścieżki w punkcie końcowym /content/images/add w shopizer v3.2.5 umożliwia atakującym zapis dowolnych plików w dowolnej ścieżce zapisu za pomocą odpowiednio skonstruowanego żądania POST.

PoprzedniaStrona 93 z 560Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS