CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.01)
Zidentyfikowano słabość w thedotmack claude-mem do wersji 11.0.1. Problem dotyczy funkcji computeObservationContentHash w pliku src/services/sqlite/observations/store.ts, co prowadzi do użycia słabego hasha.
Wykryto podatność w onnx-mlir do wersji 0.5.0.0, dotycząca funkcji generate_hash_key w pliku backend.py. Problem ten prowadzi do użycia słabego hasha, co może być wykorzystane w ataku lokalnym, chociaż jego realizacja jest skomplikowana.
The vulnerability in Samsung Auto prior to versions 3.1.2.61 (Android 15) and 3.2.0.38 (Android 16) is due to improper export of application components. This allows a local attacker to change the audio configuration.
Nieprawidłowy eksport komponentów aplikacji android w ImsSettings przed wydaniem SMR czerwiec 2026 Release 1 umożliwia lokalnym atakującym wywołanie funkcji logowania.
A flaw was found in Keycloak where an administrator with delegated access to read group memberships and users can bypass user profile permissions by accessing the group members endpoint, allowing viewing of user attributes explicitly configured as denied, leading to information disclosure.
Wykryto podatność w bytedance InfiniStore do wersji 0.2.33, dotyczącą funkcji purge_kv_map w bibliotece /src/infinistore.h komponentu KV Map Handler. Manipulacja tą funkcją prowadzi do nieefektywnej złożoności algorytmicznej.
Niewystarczające egzekwowanie polityki w Menedżerze Haseł w Google Chrome przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu, który przejął proces renderowania, obejście kontrolowania dostępu za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w CustomTabs w Google Chrome na Androidzie przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w WebAuthentication w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie polityki samego pochodzenia za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w Loaderze w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
W OpenStack Neutron przed wersją 28.0.1, menedżer projektu może tworzyć lub aktualizować port w udostępnionej sieci należącej do innego projektu, ustawiając device_owner na wartość zaczynającą się od 'network:'. Domyślne zasady RBAC portów błędnie uwzględniały PROJECT_MANAGER bez wymogu posiadania sieci, co pozwalało na uzyskanie zaufanego zachowania portu usługi sieciowej na udostępnionych sieciach.
W LMCache do wersji 0.4.6 znaleziono lukę, która dotyczy funkcji hex_hash_to_int16 w pliku lmcache/integration/vllm/utils.py komponentu KV Cache Handler. Manipulacja tą funkcją może prowadzić do użycia słabego hasha.
Strawberry GraphQL to biblioteka do tworzenia interfejsów API GraphQL. W wersjach od 0.288.4 do 0.315.3, szablon GraphiQL zapisywał wartości z edytora nagłówków GraphiQL w ciągu zapytań URL przeglądarki, co mogło prowadzić do ujawnienia wrażliwych danych.
Wykryto podatność w zilliztech GPTCache do wersji 0.1.44, dotycząca funkcji BufferedReader.peek w pliku gptcache/processor/pre.py. Manipulacja argumentem input_data['image'] prowadzi do użycia słabego hasha.
HCL BigFix Cloud Lifecycle Management jest podatny na brak walidacji danych wejściowych. Ta niska podatność umożliwia nieautoryzowany dostęp i może prowadzić do ujawnienia informacji.
A vulnerability has been found in Streamlit up to version 1.53.0 in an unknown function of the Palette Handler component, leading to the use of weak hash. Local access is required to approach this attack.
W MLflow w wersjach do 3.10.0 znaleziono lukę w funkcji mlflow.data.digest_utils w pliku mlflow/data/digest_utils.py, która dotyczy obliczania skrótów zbiorów danych. Problem ten prowadzi do użycia słabego skrótu, co może umożliwić atak na lokalnym hoście.
HCL iControl w wersji 4.0.0 jest podatny na ujawnienie śladu stosu z powodu nieobsłużonego wyjątku. Problem występuje, gdy w kodzie JavaScript aplikacji próbuje się uzyskać dostęp do niezdefiniowanej właściwości obiektu.
HCL iControl był podatny na lukę związaną z brakującymi nagłówkami zabezpieczeń, co prowadziło do ataków typu cross-site scripting (XSS) poprzez wykorzystanie wbudowanych mechanizmów filtrowania XSS w nowoczesnych przeglądarkach internetowych.
HCL iControl jest podatny na lukę związaną z brakującymi atrybutami ciasteczek. Zauważono, że aplikacja nie posiada kilku krytycznych atrybutów ciasteczek, w tym Secure i SameSite, a także ścieżka jest ustawiona na root.

