Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp posiada podatność na atak typu Path Traversal, która umożliwia uwierzytelnionym zdalnym atakującym wykorzystanie tej podatności do tworzenia katalogów w niezamierzonych ścieżkach systemowych.
Komputer wirtualizacyjny iVEC-IEI opracowany przez IEI Integration Corp ma podatność na odczyt dowolnych plików, co pozwala zdalnym atakującym z uprawnieniami na dostęp do plików poza zamierzonym zakresem katalogów.
W oknie potwierdzenia połączenia w określonej funkcji PcSuite można obejść zabezpieczenia.
Podatność CVE-2026-9271 dotyczy określonego komponentu, który może być narażony na ataki. W szczególności, może prowadzić do nieautoryzowanego dostępu lub ujawnienia danych.
Heptabase, opracowany przez Hepta Platforms, ma podatność na ujawnioną niebezpieczną metodę lub funkcję, która pozwala nieautoryzowanym zdalnym atakującym wykorzystać techniki inżynierii społecznej do oszukania ofiary w celu otwarcia lub załadowania złośliwej strony internetowej w aplikacji Heptabase. To umożliwia uzyskanie nieautoryzowanego dostępu do uprawnień kamery i mikrofonu.
W podatności CVE-2026-48613 występuje luka typu SQL injection w migracji pól profilu phpBB, spowodowana niewłaściwym przetwarzaniem danych dostarczonych przez użytkowników. Umożliwia to wykonanie dowolnych zapytań SQL na forach phpBB, które zostały zaktualizowane z wersji wcześniejszych niż phpBB 3.3.8 i nie zostały jeszcze zaktualizowane do wersji 3.3.11 lub nowszej.
Obsługa atrybutów wirtualnych w Ping Identity PingDirectory w dotkniętych wersjach pozwala tylko autoryzowanym użytkownikom na wyczerpanie pamięci heap Java, gdy włączona jest historia ostatnich logowań i kopiowane są atrybuty wirtualne, które odnoszą się do wartości ds-privilege-name.
Wtyczka Presto Player dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr 'link_url' shortcode'a [presto_player_overlay] w wersjach do 4.2.0 włącznie. Problem wynika z niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych w funkcji getOverlays().
ClipBucket v5 to otwartoźródłowa platforma do udostępniania wideo, która przed wersją 5.5.3 - #141 zawierała niewłaściwe neutralizowanie znaków wieloznacznych SQL w punkcie edycji napisów. Użytkownik z autoryzacją mógł wysłać znak % jako parametr liczbowy, co pozwalało na nadpisanie wszystkich tytułów napisów dowolnego wideo, które posiadał, w jednym żądaniu HTTP.
ClipBucket v5 to otwarta platforma do udostępniania wideo. W wersjach przed 5.5.3 - #133, normalny uwierzytelniony użytkownik mógł edytować napisy wideo innego użytkownika z powodu braku autoryzacji.
Rozszerzenie Idira Identity Browser dla przeglądarek Chrome, Firefox i Edge w wersjach przed 26.8.1 zawiera błąd walidacji pochodzenia w swoich wewnętrznych procedurach weryfikacji stron internetowych. Użytkownik uwierzytelniony, który odwiedzi specjalnie przygotowaną stronę, może umożliwić zdalnemu atakującemu wywołanie nieautoryzowanej interakcji z aplikacją lub wykonanie parametrów w kontekście tej uwierzytelnionej sesji przeglądarki.
W Google Chrome przed wersją 149.0.7827.115 wystąpił błąd odczytu poza zakresem w VideoCapture, który umożliwiał zdalnemu atakującemu, który przejął proces GPU, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Podatność w Google Chrome na ChromeOS przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który skompromitował proces renderowania, odczyt poza zakresem w module Video, co może prowadzić do ujawnienia potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja niezaufanego wejścia w sieci w Google Chrome przed wersją 149.0.7827.115 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w DevTools w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu obejście polityki same origin za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w funkcji Autofill w Google Chrome przed wersją 149.0.7827.115 umożliwia zdalnemu atakującemu, który przejął proces renderera, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
OpenClaw przed wersją 2026.4.24 zawiera lukę w autoryzacji w funkcji pętli zwrotnej MCP, która pozwala na ominięcie polityk narzędzi przeznaczonych tylko dla właścicieli. Atakujący mogą wywołać zachowanie zarezerwowane dla właścicieli za pomocą tej podatnej ścieżki pętli zwrotnej.
OpenClaw przed wersją 2026.5.19 zawiera lukę w autoryzacji, która pozwala na ominięcie kontroli listy dozwolonych kanałów podczas odczytu wiadomości. Użytkownicy o niższym poziomie zaufania mogą żądać wiadomości z kanałów, do których nie mają dostępu, co może prowadzić do ujawnienia wrażliwych informacji.
OpenClaw w wersjach przed 2026.5.6 zawiera lukę umożliwiającą obejście polityki zatwierdzania w procesie aplikacji w Skill Workshop. Umożliwia to atakującym wywołanie narzędzi agenta, które mogą ustawić apply: true mimo konfiguracji approvalPolicy: pending.
Podatność w Summarize przed wersją 0.17.0 pozwala zdalnym atakującym na wyczerpanie zasobów dyskowych poprzez serwowanie odpowiedzi medialnych, które omijają narzucone limity rozmiaru. Może to nastąpić przez brak lub błędnie zgłoszone nagłówki Content-Length, kodowanie transferu chunked lub nieudane żądania HEAD.

