Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Niewystarczająca walidacja nieufnych danych wejściowych w Google Chrome przed wersją 149.0.7827.103 umożliwia zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
W Google Chrome na systemie Windows przed wersją 149.0.7827.103 wystąpiła podatność związana z odczytem danych poza przydzielonym zakresem, co umożliwia zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w rozszerzeniach Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.103 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Ozone w Google Chrome przed wersją 149.0.7827.103 umożliwia lokalnemu atakującemu potencjalne wykorzystanie uszkodzenia sterty poprzez fizyczny dostęp do urządzenia.
W OpenVPN w wersjach od 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 występuje warunkowanie wyścigu, które może pozwolić zdalnym atakującym na spowodowanie awarii serwera lub wycieku pamięci sterty poprzez wykorzystanie błędu use-after-free podczas promowania sesji TLS.
W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 zidentyfikowano podatność. Manipulacja argumentem classId w pliku /attendance-php/Admin/createClassArms.php prowadzi do wstrzykiwania SQL, co może być zainicjowane zdalnie.
Atrybuty przestrzeni nazw nie są poprawnie kodowane podczas serializacji HTML, co pozwala na obejście mechanizmu zapobiegającego atakom XSS w typo3/html-sanitizer przed wersją 2.3.2.
Nieprawidłowa walidacja długości pakietu podczas ekstrakcji klucza tls-crypt-v2 w OpenVPN od wersji 2.6.0 do 2.6.19 oraz 2.7_alpha1 do 2.7.1 pozwala uwierzytelnionym atakującym na wywołanie krytycznego błędu i spowodowanie odmowy usługi za pomocą specjalnie przygotowanego pakietu.
W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php?action=edit. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.
W systemie zarządzania frekwencją uczniów CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /attendance-php/Admin/createClass.php. Manipulacja argumentem className prowadzi do wstrzykiwania SQL.
MVT (Mobile Verification Toolkit) zawiera podatność na przejście ścieżki związaną z niesanitizowanymi identyfikatorami plików w przetwarzaniu kopii zapasowych iOS przed wersją 2026.5.12. Problem ten został naprawiony w wersji 2026.5.12.
W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /view_account.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co może być przeprowadzone zdalnie.
W systemie płacowym CodeAstro w wersji 1.0 wykryto podatność, która umożliwia atak SQL injection poprzez manipulację argumentem rate/salary_rate w pliku /home_salary.php. Atak można przeprowadzić zdalnie.
Brak autoryzacji w API grup użytkowników usuniętych w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach enumerację metadanych usuniętych grup użytkowników za pomocą odpowiednio skonstruowanego żądania API.
Nieprawidłowa kontrola dostępu w ustawieniach integracji biletowej w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi o niskich uprawnieniach uzyskanie haseł w postaci niezaszyfrowanej dla skonfigurowanych integracji biletowych za pomocą odpowiednio skonstruowanego żądania API.
Nieprawidłowe neutralizowanie specjalnych elementów w szablonach rotacji haseł wbudowanego dostawcy PAM w Devolutions Server umożliwia uwierzytelnionemu użytkownikowi z dostępem do zapisu w skarbcu wykonywanie dowolnych poleceń na systemach zarządzanych przez dotkniętego dostawcę PAM.
W podatności CVE-2026-11554 zidentyfikowano problem w TOTOLINK CP450 w wersji 4.1.0cu.747, dotyczący pliku /etc/vsftpd.conf komponentu vsftpd. Manipulacja tym plikiem prowadzi do naruszenia zasady minimalnych uprawnień.
W systemie SourceCodester Online Examination & Learning Management System oraz Syllabus-aligned Learning Management and Examination System 1.0 zidentyfikowano podatność w pliku import_users.php. Manipulacja argumentem raw_password z wykorzystaniem hasła CICT_2026 prowadzi do użycia twardo zakodowanego hasła.
W jądrze Linux w sterowniku DRM dla V3D wykryto podatność umożliwiającą lokalnemu użytkownikowi wywołanie nieskończonej pętli w kontekście jądra. Atak polega na przesłaniu pustego rozszerzenia multisync z samoodnoszącym się wskaźnikiem listy, co omija istniejące zabezpieczenia i blokuje wątek wywołujący, trwale obciążając rdzeń procesora.

