CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2026-42965
High

A flaw in OpenShift Router allows a user with EndpointSlice write access to create a Service backed by an FQDN EndpointSlice that resolves to a cloud metadata endpoint. The router then proxies requests to this endpoint, leading to disclosure of instance credentials and other sensitive metadata, bypassing previous IP address validation measures.

CVE-2026-6075
High

Wtyczka Media Library Assistant dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 3.35 włącznie. Brak weryfikacji nonce w obsłudze akcji zbiorczych w zakładce ustawień umożliwia nieautoryzowanym atakującym oszukanie administratora w celu wykonania zbiorczych operacji usuwania, edytowania lub czyszczenia ustawień wtyczki oraz metadanych załączników.

CVE-2026-49196
High

The Wi-Fi device blocking feature fails to sanitize MAC address input, allowing injection and execution of arbitrary shell commands.

CVE-2026-49195
High

Unauthenticated Debug Service is exposed on TCP port 9000. The /sbin/mtk_dut binary allows LAN-based attackers to execute arbitrary UCC commands.

CVE-2026-10056
High

Błąd konfiguracji CORS w API REST Network Optix Nx Witness VMS przed wersją 6.1.2, działającym w domyślnym trybie bezpieczeństwa Standard, umożliwia nieautoryzowanemu atakującemu zdalne kradzież tokena sesji uwierzytelnionego użytkownika oraz przejęcie konta administratora poprzez złośliwą stronę internetową odwiedzaną przez ofiarę. Tryb wysokiego bezpieczeństwa nie jest dotknięty.

CVE-2026-4776
High

W Mautic występuje podatność na wstrzykiwanie SQL w mechanizmie filtrowania kontaktów API. Z powodu niewystarczającego oczyszczania zagnieżdżonych parametrów zapytania, uwierzytelniony użytkownik API może obejść filtrację wejścia i wstrzyknąć dowolne polecenia SQL.

CVE-2025-11262
High

Wtyczka Link Whisper Free dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr user_id we wszystkich wersjach do 0.9.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.

CVE-2025-11993
High

Wtyczka WooCommerce Infinite Scroll i Ajax Pagination dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 1.8 włącznie, poprzez parametr 'settings' w funkcji 'import_settings'. Problem wynika z deserializacji niezaufanych danych dostarczonych przez funkcję importu konfiguracji bez odpowiednich kontroli uprawnień.

CVE-2026-9999
High

Nieodpowiednia implementacja w ANGLE w Google Chrome na Macu przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9998
High

Przepełnienie całkowitej liczby w Skia w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9997
High

W Google Chrome przed wersją 148.0.7778.216 występowała podatność typu use after free w module Input, która mogła pozwolić zdalnemu atakującemu, który przejął proces renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9995
High

Wykorzystanie po zwolnieniu pamięci w WebXR w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9994
High

W Google Chrome na systemie Windows przed wersją 148.0.7778.216 występuje podatność typu use after free w module Core, która pozwala zdalnemu atakującemu, który przejął proces renderera, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9993
High

W Google Chrome przed wersją 148.0.7778.216 występowała podatność typu use after free w komponentach Views, która mogła zostać wykorzystana przez zdalnego atakującego do przeprowadzenia ucieczki z piaskownicy za pomocą spreparowanego pliku PDF.

CVE-2026-9992
High

Wykorzystanie po zwolnieniu pamięci w module sieciowym Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9990
High

W Google Chrome na Mac przed wersją 148.0.7778.216 występuje podatność typu use after free w WebAppInstalls, która może być wykorzystana przez zdalnego atakującego. Atakujący może skłonić użytkownika do wykonania określonych gestów interfejsu użytkownika, co może prowadzić do uszkodzenia sterty poprzez spreparowaną stronę HTML.

CVE-2026-9988
High

Wykorzystanie po zwolnieniu pamięci w WebRTC w Google Chrome na systemie Linux przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9987
High

Niewystarczająca walidacja nieufnych danych wejściowych w WebAppInstalls w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwiła lokalnemu atakującemu wykonanie dowolnego kodu za pomocą złośliwego pliku.

CVE-2026-9984
High

Wykorzystanie po zwolnieniu pamięci w interfejsie użytkownika w Google Chrome na systemie Windows przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu za pomocą spreparowanej strony HTML.

CVE-2026-9983
High

W Skia w Google Chrome przed wersją 148.0.7778.216 wystąpiła podatność typu 'Type Confusion', która umożliwiała zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

PreviousPage 274 of 3419Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS