CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
W metodzie createSessionInternal w PackageInstallerService.java występuje błąd związany z przejściem ścieżki, który umożliwia aktualizację kontrolera polityki urządzenia (DPC) do nieprawidłowego katalogu. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
W kilku funkcjach pliku ubsan_throwing_runtime.cpp istnieje możliwość spowodowania awarii z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach pliku ubsan_throwing_runtime.cpp istnieje możliwość spowodowania awarii systemu z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W pliku WindowState.java istnieje możliwość oszukania użytkownika w celu zatwierdzenia uprawnień z powodu ataku tapjacking/overlay. Może to prowadzić do lokalnej eskalacji uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
W klasie InputInterceptor w pliku Letterbox.java istnieje możliwość oszukania użytkownika w celu zaakceptowania uprawnienia w wyniku ataku tapjacking/overlay. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach pliku ubsan_throwing_runtime.cpp istnieje możliwość spowodowania awarii systemu z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach pliku ubsan_throwing_runtime.cpp występuje możliwe trwałe zablokowanie usługi z powodu przepełnienia całkowitego. Może to prowadzić do lokalnego podniesienia uprawnień bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach pliku ubsan_throwing_runtime.cpp występuje możliwe trwałe zablokowanie usługi z powodu wyczerpania zasobów. Może to prowadzić do lokalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach pliku ubsan_throwing_runtime.cpp występuje możliwa awaria UBSan spowodowana przepełnieniem całkowitym. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W kilku funkcjach pliku ubsan_throwing_runtime.cpp istnieje możliwość spowodowania awarii z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W kilku funkcjach pliku ubsan_throwing_runtime.cpp występuje możliwe trwałe zablokowanie usługi z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach AccessibilityManagerService.java występuje możliwe trwałe zablokowanie usługi z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do lokalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W metodzie isSameApp w NotificationManagerService.java występuje możliwe trwałe zablokowanie usługi z powodu wyczerpania zasobów. Może to prowadzić do lokalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
A denial-of-service vulnerability in Dräger Infinity Delta, Delta XL, and Kappa patient monitors allows remote attackers to cause a device reboot by sending a malformed network packet. Repeated attacks can disrupt patient monitoring until the device falls back to default configuration and loses network connectivity.
ZeusCart 4.0 zawiera podatność typu cross-site request forgery, która umożliwia atakującym wykonywanie nieautoryzowanych działań w imieniu ofiar poprzez tworzenie złośliwych żądań. Atakujący mogą dezaktywować konta klientów za pomocą interfejsu administracyjnego, wprowadzając użytkowników w błąd, aby odwiedzili strony kontrolowane przez atakujących.
Endpoint DeepAI 'https://api.deepai.org/change_user_email' akceptuje żądania POST bez jakiejkolwiek ochrony przed CSRF. Atakujący może zmusić zalogowanego użytkownika do kliknięcia w złośliwy link, co pozwoli mu na zmianę adresu e-mail użytkownika i przejęcie jego konta.
A vulnerability in Nanobot prior to version 0.2.1 allows authenticated Matrix room members to exhaust process memory and bandwidth by sending media events with missing or invalid size metadata. Attackers can send multiple concurrent Matrix media events with omitted or invalid declared sizes to trigger simultaneous large media downloads that fully materialize response bodies before post-download rejection, leading to service degradation.
Nanobot prior to version 0.2.1 contains a server-side request forgery (SSRF) vulnerability in the web_fetch tool. Attackers can exploit automatic HTTP redirect following in the httpx library to bypass URL validation and send requests to internal or private hosts.
W systemie rezerwacji hotelowej i turystycznej w wersji 1.0 odkryto lukę bezpieczeństwa. Manipulacja argumentami name, email, people oraz number w pliku /ht/tour.php prowadzi do ataku typu cross-site scripting (XSS).
W systemie płacowym CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej części pliku /home_employee.php. Manipulacja argumentem emp_id prowadzi do wstrzykiwania SQL, co może być przeprowadzone zdalnie.

