Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Niewystarczająca walidacja nieufnych danych wejściowych w Codecs w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanego pliku wideo.
Niewystarczająca walidacja nieufnych danych wejściowych w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki samego pochodzenia za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 149.0.7827.53 wystąpił błąd odczytu poza zakresem w ANGLE, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W Skia w Google Chrome przed wersją 149.0.7827.53 wystąpiło wykorzystanie niezainicjowanej pamięci, które pozwalało zdalnemu atakującemu, który przejął proces renderera, na wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w funkcji Autofill w Google Chrome na iOS przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w funkcji Autofill w Google Chrome na iOS przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w module wejściowym w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w zarządzaniu hasłami w Google Chrome przed wersją 149.0.7827.53 umożliwiała zdalnemu atakującemu obejście polityki tego samego pochodzenia za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja niezaufanego wejścia w rozszerzeniach Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki tego samego pochodzenia za pomocą spreparowanej strony HTML.
W projekcie Online Art Gallery Shop Project 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji w pliku /admin/adminHome.ph. Manipulacja argumentem social_twitter prowadzi do wstrzykiwania SQL.
Zidentyfikowano podatność w projekcie projectworlds Online Art Gallery Shop Project w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /admin/adminHome.php, gdzie manipulacja argumentem social_insta prowadzi do wstrzyknięcia SQL.
Na podatnych platformach działających na Arista EOS z skonfigurowanym MACsec i ACL na tych samych interfejsach, polityki ACL mogą nie być egzekwowane dla pakietów wychodzących na tych portach. Może to spowodować, że wychodzące pakiety będą błędnie dozwolone lub zablokowane.
Na podatnych platformach działających na Arista EOS z skonfigurowaną autoryzacją 802.1x na portach dostępowych/ trunkowych oraz włączonym routowaniem na VLAN dostępowym, złośliwy klient może być w stanie obejść wymóg przeprowadzenia autoryzacji 802.1x.
IRIS to platforma współpracy internetowej, która umożliwia responderom incydentów dzielenie się szczegółami technicznymi podczas dochodzeń. W wersjach przed 2.4.28 użytkownicy mogą tworzyć alerty dla klientów, którzy nie są im przypisani, co może prowadzić do fałszywego przypisywania alertów do klientów.
IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 są podatne na atak typu cross-site request forgery, ponieważ używają metody HTTP `GET` do zmiany stanu na serwerze.
IRIS to internetowa platforma współpracy, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 pozwalają użytkownikowi na modyfikację wartości w bazie danych za pomocą zmanipulowanych żądań API. Wersja 2.4.28 zawiera poprawkę.
IRIS to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zwracają wrażliwe dane do użytkownika, które nie są wymagane do działania klienta.
Hermes WebUI przed wersją v0.51.221 zawiera podatność na traversję ścieżki, która pozwala atakującym na opuszczenie granic przestrzeni roboczej poprzez dostarczenie symlinków prowadzących do plików lub katalogów poza wyznaczonym katalogiem głównym przestrzeni roboczej. Atakujący mogą wykorzystać API do plików i listowania przestrzeni roboczej, które nie egzekwują, aby ostateczna ścieżka pozostawała w obrębie przestrzeni roboczej.
W systemie EOS firmy Arista, w trybie 802.1X, nieautoryzowane hosty mogą uzyskać dostęp do portu przełącznika, jeśli w VLAN fallback znajduje się urządzenie obsługujące EAPOL.

