CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-10006
High

Występuje wyścig warunków w WebAudio w Google Chrome przed wersją 148.0.7778.216, co pozwala zdalnemu atakującemu na wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-10005
High

W Google Chrome na Mac przed wersją 148.0.7778.216 występuje podatność typu use after free w WebAppInstalls, która pozwala zdalnemu atakującemu na wykonanie dowolnego kodu poprzez zmanipulowanie użytkownika do wykonania określonych gestów interfejsu użytkownika na spreparowanej stronie HTML.

CVE-2026-10003
High

Wykorzystanie po zwolnieniu pamięci w widokach w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przekonał użytkownika do wykonania określonych gestów interfejsu użytkownika, wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-10002
High

Wykorzystanie po zwolnieniu pamięci w PDFium w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty za pomocą spreparowanego pliku PDF.

CVE-2026-10001
High

Wykorzystanie po zwolnieniu pamięci w PerformanceManager w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-10000
High

Wykorzystanie po zwolnieniu pamięci w module haseł w Google Chrome na systemie Windows przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-48116
High

AnythingLLM to aplikacja, która przekształca fragmenty treści w kontekst używany przez LLM podczas czatowania. W wersjach przed 1.13.0, umiejętność agentów filesystem-search-files przekazuje parametr wzorca kontrolowany przez LLM do ripgrep jako argument pozycyjny, co pozwala na wykonanie dowolnych poleceń w kontenerze serwera AnythingLLM.

CVE-2026-45364
High

Biblioteka Better Auth do uwierzytelniania i autoryzacji w TypeScript przed wersjami 1.4.17 i 1.5.0-beta.9 miała problem z ograniczaniem liczby żądań HTTP. Ogranicznik kluczył każde żądanie na podstawie dokładnego adresu IP z nagłówka x-forwarded-for, co pozwalało klientom IPv6 na obejście limitów.

CVE-2026-45344
High

LinkAce to samodzielnie hostowany archiwum do zbierania linków do stron internetowych. W wersjach przed 2.5.6, proces konfiguracji bazy danych na nieinicjalizowanych instancjach LinkAce akceptuje pola poświadczeń bazy danych kontrolowane przez atakującego i zapisuje je w pliku .env bez odpowiedniego zabezpieczenia.

CVE-2026-45343
High

LinkAce to samodzielnie hostowane archiwum do zbierania linków do stron internetowych. W wersjach przed 2.5.6 występuje podatność na przechowywane XSS, która pozwala użytkownikowi o niskich uprawnieniach na wykonanie dowolnego skryptu JavaScript w sesji przeglądarki administratora.

CVE-2026-45342
High

LinkAce to samodzielnie hostowane archiwum do zbierania linków do stron internetowych. W wersjach przed 2.5.6 występuje podatność na Insecure Direct Object Reference w warstwie polityki autoryzacji, która pozwala każdemu uwierzytelnionemu użytkownikowi na modyfikację zasobów należących do innych użytkowników, takich jak linki, listy, tagi i notatki.

CVE-2026-44883
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 akceptuje tokeny JWT przekazywane jako parametr ?token=<JWT> w URL na każdym uwierzytelnionym punkcie API. Taki sposób przekazywania tokenów naraża je na przechwycenie przez osoby mające dostęp do logów lub zewnętrznych stron odwiedzanych przez użytkownika.

CVE-2026-44882
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która od wersji 2.33.0 do przed 2.33.8 miała lukę w middleware kubeClientMiddleware. Luka ta pozwalała na ominięcie sprawdzenia uprawnień użytkownika, co skutkowało przekazywaniem żądań do klastrów Kubernetes mimo braku odpowiednich uprawnień.

CVE-2026-44850
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 miała lukę umożliwiającą użytkownikom z odpowiednimi uprawnieniami tworzenie kontenerów z zamontowanymi ścieżkami hosta. Sprawdzenie zabezpieczeń nie uwzględniało odpowiedniej tablicy HostConfig.Mounts, co pozwalało na obejście ograniczeń.

CVE-2026-44849
High

Portainer Community Edition to lekka platforma do dostarczania usług dla aplikacji kontenerowych, która umożliwia zarządzanie środowiskami Docker, Swarm, Kubernetes i ACI. W wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0, Portainer egzekwuje siedem ograniczeń EndpointSecuritySettings, które administratorzy mogą skonfigurować, aby ograniczyć konfiguracje kontenerów, które mogą uruchamiać użytkownicy niebędący administratorami. Ograniczenia te nie są stosowane w API usługi Docker Swarm, co stanowi lukę w zabezpieczeniach.

CVE-2026-44848
High

Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 miała lukę w zarządzaniu wtyczkami Docker. Użytkownicy standardowi z dostępem do punktu końcowego mogli wykonywać operacje wymagające uprawnień administratora, takie jak instalacja i włączanie wtyczek, bez odpowiednich uprawnień.

CVE-2026-39929
High

Wersje Lakeside SysTrack Agent przed 11.2.1.28, 11.3.0.38, 11.4.0.24, 11.5.0.15 zawierają podatność na odczyt poza zakresem w obsłudze pakietów UDP z identyfikatorem polecenia 30. Umożliwia to zdalnym atakującym zablokowanie aplikacji poprzez wysłanie specjalnie skonstruowanego pakietu UDP.

CVE-2026-10044
High

Usagi-org ai-goofish-monitor zawiera podatność na nieautoryzowane odczyty plików w punkcie końcowym GET /api/prompts/{filename} w implementacjach na systemie Windows. Umożliwia to zdalnym atakującym bez autoryzacji odczyt dowolnych plików poprzez podanie absolutnych ścieżek Windows lub sekwencji przejścia wstecz.

CVE-2026-46837
High

Podatność w produkcie Oracle Flow Manufacturing z pakietu Oracle E-Business Suite, dotycząca komponentu bezpieczeństwa. Dotknięte są wspierane wersje od 12.2.9 do 12.2.15, a podatność ta jest łatwa do wykorzystania przez atakującego z niskimi uprawnieniami, który ma dostęp do sieci, co może prowadzić do przejęcia Oracle Flow Manufacturing.

CVE-2026-46835
High

Podatność w komponencie Net Service serwera bazy danych Oracle, dotyczy wersji 23.4.0-23.26.2. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez TLS, co może prowadzić do zawieszenia lub częstych awarii Net Service.

PreviousPage 223 of 3355Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS