Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Nieprawidłowy eksport komponentów aplikacji na Androida w SpriteWallpaper przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Błędne przypisanie uprawnień w Telephony przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Nieprawidłowe zarządzanie niewystarczającymi uprawnieniami w SecTelephonyProvider przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do plików z uprawnieniami.
HCL Digital Experience oraz HCL Digital Experience Compose mogą być podatne na wstrzyknięcie nagłówka Host. Atakujący może manipulować nagłówkiem Host, co może prowadzić do nieprzewidywalnego zachowania aplikacji.
HCL Digital Experience Compose jest podatny na odzwierciedloną podatność XSS w centrum wyszukiwania. Atakujący może wykonać dowolny kod JavaScript w przeglądarce ofiary.
Podatność w bibliotece 'decompress' umożliwia zapis dowolnego pliku poza katalogiem docelowym podczas rozpakowywania spreparowanego archiwum ZIP. Atak wykorzystuje dwa wpisy o tej samej ścieżce: pierwszy to dowiązanie symboliczne, drugi to zwykły plik, co prowadzi do zapisu treści przez dowiązanie do dowolnej lokalizacji. Obejście to omija istniejące zabezpieczenia przed trawersowaniem ścieżek, w tym funkcję 'preventWritingThroughSymlink' dodaną w ramach poprawki dla CVE-2020-12265.
W Znuny LTS przed wersją 6.5.21 oraz w Znuny przed wersją 7.3.3 występuje podatność na refleksyjny XSS w widoku administracyjnym logu komunikacji.
W wersjach Znuny LTS przed 6.5.21 oraz Znuny przed 7.3.3 może wystąpić podatność typu XSS poprzez przechowywane preferencje użytkowników.
W Mimecast Incydr przed wersją 2.6.0 może wystąpić nieautoryzowany dostęp do dowolnych plików.
OpenAI Atlas przed wersją 1.2025.288.15 ujawniał uprzywilejowane API przeglądarki dla treści webowych na domenach *.openai.com. Wykorzystanie podatności typu cross-site scripting na forum.openai.com mogło umożliwić dostęp do tych funkcji, co pozwalało na przeglądanie historii przeglądarki oraz otwieranie lub zamykanie kart.
W OpenStack Ironic w wersjach od 32 do 36.x przed 37.0.0 istnieje podatność, która pozwala nieuwierzytelnionemu atakującemu na wysłanie spreparowanego łańcucha JSON do wybranych punktów końcowych API lub usługi JSON-RPC, co może spowodować awarię usługi.
Niewystarczające egzekwowanie polityki w historii Google Chrome przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.53 umożliwiła atakującemu, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia, eskalację uprawnień za pomocą spreparowanego rozszerzenia Chrome.
Niewystarczające egzekwowanie polityki w przeglądarce Chrome na iOS przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu obejście kontrol dostępu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja uprawnień w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
Przepełnienie całkowitej liczby w czcionkach w Google Chrome przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W nieodpowiedniej implementacji w przeglądarce Chrome na iOS przed wersją 149.0.7827.53 istniała możliwość ominięcia polityki samej domeny przez złośliwie przygotowaną stronę HTML.
Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w Blink w Google Chrome przed wersją 149.0.7827.53 umożliwiło zdalnemu atakującemu obejście polityki bezpieczeństwa treści za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja funkcji Autofill w przeglądarce Google Chrome na Androidzie przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu obejście polityki samej domeny za pomocą spreparowanej strony HTML.

