Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-13780
Krytyczne

Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może potencjalnie uciec z piaskownicy przeglądarki za pomocą spreparowanej strony HTML.

CVE-2026-13779
Wysokie

W Google Chrome na ChromeOS przed wersją 150.0.7871.47 wykryto podatność use-after-free w komponencie Chromoting. Zdalny atakujący może wykorzystać złośliwy ruch sieciowy do wykonania dowolnego kodu.

CVE-2026-13778
Wysokie

W przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 wykryto podatność use-after-free w komponencie WebUSB. Lokalny atakujący może wykorzystać złośliwe urządzenie peryferyjne do wykonania dowolnego kodu.

CVE-2026-13777
Wysokie

W iOSWeb w Google Chrome na iOS przed wersją 150.0.7871.47 brak wystarczającej walidacji niezaufanych danych wejściowych umożliwiał zdalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez spreparowaną stronę HTML. Problem ma krytyczny poziom ważności wg Chromium.

CVE-2026-13776
Krytyczne

Podatność typu Type Confusion w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako krytyczny w ramach zabezpieczeń Chromium.

CVE-2026-13775
Krytyczne

Podatność Use-After-Free w komponencie GPU przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem ma krytyczny poziom ważności wg Chromium.

CVE-2026-13774
Wysokie

W przeglądarce Google Chrome przed wersją 150.0.7871.47 wykryto podatność Use-After-Free w mechanizmie rozszerzeń. Atakujący, który przekona użytkownika do zainstalowania złośliwego rozszerzenia, może zdalnie wykonać dowolny kod.

CVE-2025-71381
Średnie

Podatność w Hono przed wersją 4.10.2 (załatana w 4.10.3) w komponencie CORS middleware powoduje, że gdy źródło (origin) nie jest ustawione na "*", nagłówek Vary z żądania jest kopiowany do odpowiedzi. Atakujący może dostarczyć dowolne wartości Vary, które zostaną odbite w odpowiedzi, co prowadzi do skażenia pamięci podręcznej i niespójnego egzekwowania CORS w środowiskach z współdzielonymi pamięciami podręcznymi lub proxy.

CVE-2025-71374
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa wbudowanej funkcji profile.Profile.run używanej w metodach reduce pickle'a, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.

CVE-2025-71371
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 pozwala na ominięcie detekcji złośliwych plików pickle poprzez użycie metody code.InteractiveInterpreter.runcode w funkcjach reduce. Atakujący mogą stworzyć specjalnie spreparowane ładunki pickle, które po załadowaniu przez pickle.load() wykonają dowolny kod.

CVE-2025-71368
WysokieEPSS 51%

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa funkcji doctest.debug_script podczas analizy plików pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle zawierające wywołania doctest.debug_script, które omijają detekcję picklescan i wykonują dowolne polecenia po załadowaniu pliku przez pickle.load.

CVE-2025-71363
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.30 nie wykrywa wywołań funkcji cProfile.run w metodach reduce pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle z ładunkiem cProfile.run, które omijają detekcję picklescan i prowadzą do wykonania kodu podczas deserializacji.

CVE-2025-71355
Wysokie

Picklescan przed wersją 0.0.25 nie wykrywa niebezpiecznych funkcji globalnych w bibliotece Numpy, co umożliwia atakującym ominięcie analizy statycznej i wykonanie dowolnego kodu podczas deserializacji. Atakujący mogą stworzyć złośliwe pliki pickle wykorzystujące numpy.testing._private.utils.runstring w metodzie reduce do importowania niebezpiecznych bibliotek, takich jak os, i wykonania dowolnych poleceń systemowych po załadowaniu pliku pickle.

CVE-2025-71352
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 nie wykrywa wbudowanej funkcji trace.Trace.runctx w metodach reduce plików pickle, co umożliwia atakującym zdalne wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwe pliki pickle z ładunkiem trace.Trace.runctx, które omijają detekcję picklescan i wykonują kod po wywołaniu pickle.load().

CVE-2025-71350
Wysokie

Picklescan przed wersją 0.0.28 nie wykrywa złośliwych plików pickle wykorzystujących funkcję torch.utils.collect_env.run w metodach reduce. Atakujący mogą osadzić niewykryty kod w plikach pickle, który wykonuje zdalne polecenia po załadowaniu przez ofiarę.

CVE-2025-71349
Wysokie

Podatność w narzędziu picklescan przed wersją 0.0.29 polega na braku wykrywania wbudowanej funkcji trace.Trace.run podczas analizy plików pickle. Umożliwia to atakującym osadzenie niewykrytego złośliwego kodu, który może zostać wykonany podczas przetwarzania pliku przez pickle.load.

CVE-2026-58450
Średnie

Invoice Ninja do wersji 5.13.26 zawiera podatność na otwarte przekierowanie w portalu logowania klienta. Nieuwierzytelniony atakujący może przekierować uwierzytelnioną ofiarę na zewnętrzną, kontrolowaną przez siebie stronę, wstrzykując złośliwą wartość do parametru zapytania.

CVE-2026-58449
Krytyczne

Podatność w txtai do wersji 9.10.0 (załatana w commicie 11b32da) pozwala na zdalne wykonanie kodu przez endpoint API /reindex. Funkcja body parametru jest rozwiązywana przez txtai.util.Resolver, który wykonuje __import__ i getattr na ścieżce kropkowej podanej przez atakującego bez żadnej listy dozwolonych wartości.

CVE-2026-58448
Średnie

Podatność w module BPM systemu yudao-cloud przed wersją 2026.06 umożliwia uwierzytelnionemu użytkownikowi dostęp do dowolnych instancji procesów poprzez podanie identyfikatora instancji w niechronionym punkcie końcowym GET. Brak adnotacji @PreAuthorize oraz weryfikacji własności lub dzierżawy pozwala na odczyt wrażliwych danych procesu, takich jak zmienne formularzy, tożsamości osób zatwierdzających, komentarze oraz XML BPMN.

CVE-2026-58447
Średnie

Podatność w Invidious do wersji 2.20260626.0 (załatana w commit 77ad416) pozwala uwierzytelnionym atakującym na usuwanie filmów z playlist innych użytkowników poprzez podanie dowolnego globalnego indeksu wideo w akcji remove_video. Atakujący mogą uzyskać wartości indeksów z publicznego API JSON playlist i przesłać je do punktu końcowego usuwania filmów bez weryfikacji własności, trwale usuwając filmy z playlist, których nie posiadają.

PoprzedniaStrona 128 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS