CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Wykorzystanie po zwolnieniu pamięci w Chromoting w Google Chrome przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez złośliwy ruch sieciowy.
W Google Chrome na systemie Linux przed wersją 149.0.7827.53 występuje podatność typu use after free w module GFX, która może być wykorzystana przez zdalnego atakującego do potencjalnego uszkodzenia sterty za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 149.0.7827.53 wystąpiła podatność typu use after free w funkcji Cast, która pozwalała atakującemu w lokalnej sieci na potencjalne wykorzystanie uszkodzenia sterty poprzez złośliwy ruch sieciowy.
W Google Chrome przed wersją 149.0.7827.53 wystąpił błąd odczytu poza zakresem w ANGLE, który umożliwiał zdalnemu atakującemu, który przejął proces renderera, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Cast Streaming w Google Chrome przed wersją 149.0.7827.53 umożliwia atakującemu w lokalnym segmencie sieciowym wykonanie dowolnego kodu za pomocą złośliwego ruchu sieciowego.
Wykorzystanie po zwolnieniu pamięci w Chromoting w Google Chrome na Macu przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego ruchu sieciowego.
W Chrome na iOS przed wersją 149.0.7827.53 występuje podatność typu use after free, która pozwala zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Chromecast w Google Chrome przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 149.0.7827.53 wystąpiła podatność typu 'Type Confusion' w ANGLE, która mogła umożliwić zdalnemu atakującemu wykorzystanie uszkodzenia sterty za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 149.0.7827.53 wystąpiła podatność typu use after free w module sieciowym, która pozwalała zdalnemu atakującemu na wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.
W podatności CVE-2026-10873 zidentyfikowano problem w Shibby Tomato 1.28.0000, dotyczący funkcji rstats_path w pliku /bin/rstats komponentu Web UI. Wykonanie manipulacji może prowadzić do wstrzyknięcia poleceń systemowych, co może być przeprowadzone zdalnie.
Wykryto podatność w Shibby Tomato 1.28.0000, która dotyczy funkcji start_vpnserver w pliku /sbin/rc komponentu Web UI. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń systemowych, co może być zainicjowane zdalnie.
Na podatnych platformach działających na Arista EOS z skonfigurowanym IPsec, specjalnie przygotowany pakiet może spowodować zatrzymanie przetwarzania całego ruchu IPsec w dataplane. Po próbie resetu, ruch może nie wznowić przetwarzania.
Wykryto podatność w Shibby Tomato 1.28.0000, która dotyczy funkcji start_6rd_tunnel w pliku /sbin/rc komponentu Web UI. Manipulacja argumentem ipv6_6rd_borderrelay prowadzi do wstrzyknięcia poleceń systemowych.
A flaw has been found in Shibby Tomato 1.28.0000 affecting the function start_dhcpc of the file /sbin/rc of the Web UI component. This manipulation leads to os command injection, allowing for remote attack initiation.
Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi. W wersjach przed 2.4.28, DFIR-IRIS udostępnia opcjonalny punkt końcowy GraphQL, który nie wymusza tych samych kontroli autoryzacji co API REST, co pozwala uwierzytelnionym użytkownikom na nadużycia.
Chartbrew to aplikacja webowa typu open-source, która umożliwia łączenie się z bazami danych i API w celu tworzenia wykresów. W wersjach od 4.9.0 do 5.0.0, uwierzytelniony użytkownik z uprawnieniami edytora projektu może przechowywać dowolny kod HTML/JavaScript w polu `ChartDatasetConfig.legend`, co prowadzi do wstrzyknięcia złośliwego kodu do elementu DOM tooltipa.
CoreShop, an enhanced eCommerce solution for Pimcore, in versions 5.0.1 through 5.1.0-beta.1, has a vulnerability that allows Remote Code Execution (RCE) through unsafe checking of code from pull requests. It utilizes a GitHub Actions workflow that executes a script from untrusted checkout.
Froxlor 2.3.6 and earlier contains a vulnerability in the validation of DNS LOC and TLSA records. The regular expression for LOC accepts newline characters, and TLSA with matchingType=0 has no upper bound on hex data length, which may lead to injection of malicious data. Version 2.3.7 contains a fix.
Froxlor is server administration software that in version 2.3.6 contains a symlink-following flaw in the SSH key synchronization path, potentially allowing an attacker to gain root access.

