Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W przeglądarce Google Chrome na systemie Mac, w komponencie Dawn, przed wersją 150.0.7871.46, występuje podatność use-after-free. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność typu Type Confusion w komponencie Tint przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka.
Podatność w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez specjalnie spreparowaną stronę HTML. Błąd polega na odczycie i zapisie poza dozwolonym obszarem pamięci.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w bibliotece Skia. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w komponencie Dawn. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu poza dozwolonym zakresem pamięci.
W Google Chrome przed wersją 150.0.7871.46 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie ANGLE. Luka ta umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy przeglądarki za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 w silniku V8 występuje podatność polegająca na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do wykonania dowolnego kodu w środowisku piaskownicy.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto podatność use-after-free w komponencie ANGLE. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność w komponencie ANGLE w przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem wynika z zapisu poza dozwolonym zakresem pamięci.
Podatność w komponencie Tint przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwiała zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem wynika z zapisu poza dozwolonym obszarem pamięci.
Podatność Use-After-Free w komponencie ANGLE przeglądarki Google Chrome przed wersją 150.0.7871.46 umożliwia zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako wysokiego ryzyka.
W przeglądarce Google Chrome przed wersją 150.0.7871.46 wykryto przepełnienie liczby całkowitej w bibliotece Skia. Umożliwiało ono zdalnemu atakującemu potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML.
Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.46 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy przeglądarki.
Podatność SQL Injection w UTT nv518G w wersji oprogramowania nv518GV3v3.2.7-210919-161313 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent gohead/sub_463bbc.
W repeaterze Wi-Fi Shenzhen Aitemi M300 (model MT02) wykryto nieuwierzytelnioną podatność na wstrzykiwanie poleceń systemu operacyjnego. Atakujący z sąsiedztwa sieciowego może wykonać dowolne polecenia powłoki, wstrzykując niesanitowane dane przez parametr GET w handlerze smacfilter_conf backendu webowego commuos.
W systemie containerd przed wersjami 2.3.2, 2.2.5 i 2.1.9 wykryto podatność w implementacji CRI, która nieprawidłowo ufa adnotacjom CDI z nieufnych metadanych obrazów punktów kontrolnych podczas przywracania kontenera. Osoba z uprawnieniami do tworzenia podów może ominąć standardowe przydzielanie zasobów Kubernetes i wymusić wstrzyknięcie dowolnych urządzeń lub montowań hosta do przywróconego kontenera.
Podatność w Pivotal CRM 6.6.4.08 oraz systemach z łatką ghi-15381-cwe-502-20251225.zip umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez komponent Pivotal.Engine.Client.Services.Conversion.dll. Problem wynika z niekompletnej poprawki dla CVE-2026-39253.
Podatność w containerd przed wersjami 2.3.2, 2.2.5 i 2.1.9 pozwala atakującemu z uprawnieniami do tworzenia podów na zatrucie lokalnego cache obrazów poprzez spreparowany obraz punktu kontrolnego (checkpoint). Brak walidacji referencji obrazów w konfiguracji importu punktu kontrolnego umożliwia przypisanie dowolnego lokalnego tagu do złośliwego obrazu.
W samodzielnie hostowanych wdrożeniach Hoppscotch w wersji 2026.4.1 i wcześniejszych, nieuwierzytelniony endpoint POST /v1/onboarding/config jest podatny na masowe przypisanie (mass assignment). Brak whitelist: true w globalnym ValidationPipe NestJS powoduje, że dodatkowe właściwości w żądaniu nie są odrzucane, a klucze takie jak JWT_SECRET i SESSION_SECRET są traktowane jako prawidłowe wpisy InfraConfig, co pozwala atakującemu na ich nadpisanie.

