Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w implementacji CSS w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu ominięcie polityki samego pochodzenia za pomocą spreparowanej strony HTML.
Nieprawidłowa implementacja w CSS w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML.
Podatność w implementacji CSS w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wstrzyknięcie dowolnych skryptów lub kodu HTML (UXSS) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka przez zespół bezpieczeństwa Chromium.
W przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 wykryto podatność w komponencie ANGLE polegającą na użyciu niezainicjalizowanej pamięci. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do wycieku danych między różnymi źródłami (cross-origin).
Podatność w Google Chrome przed wersją 150.0.7871.47 wynika z nieprawidłowej implementacji w komponencie Enterprise. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do odczytu potencjalnie wrażliwych informacji z pamięci procesu.
Podatność w funkcji Autofill w przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, wyciek danych między różnymi źródłami (cross-origin) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High).
W Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono nieprawidłową implementację w rozszerzeniach, która umożliwiała atakującemu przekonanie użytkownika do zainstalowania złośliwego rozszerzenia i ominięcie polityki samego pochodzenia (same origin policy) za pomocą spreparowanego rozszerzenia Chrome.
Podatność w bibliotece Skia w przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych z innego pochodzenia poprzez spreparowaną stronę HTML. Problem wynika z odczytu poza dozwolonym zakresem pamięci.
Podatność w Google Chrome przed wersją 150.0.7871.47 w komponencie Passwords umożliwia zdalnemu atakującemu ominięcie ograniczeń nawigacji za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka.
W przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie File Input. Luka umożliwia zdalnemu atakującemu wyciek danych między różnymi źródłami (cross-origin) za pomocą spreparowanej strony HTML.
Podatność w przeglądarce Chrome na iOS przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący może nakłonić użytkownika do wykonania określonych gestów interfejsu, co umożliwia wstrzyknięcie dowolnych skryptów lub kodu HTML (UXSS) za pomocą spreparowanej strony.
Nieprawidłowa implementacja w komponencie Input w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML. Podatność ma wysoki poziom ważności wg Chromium.
Podatność polegająca na wycieku informacji kanałem bocznym w funkcji Safe Browsing w przeglądarce Google Chrome na systemie iOS przed wersją 150.0.7871.47. Zdalny atakujący, który skompromitował proces renderowania, może wyciekać dane z innych źródeł za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja danych w Chrome dla iOS w Google Chrome na iOS przed wersją 150.0.7871.47 umożliwiała lokalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu poprzez fizyczny dostęp do urządzenia. (Wysoka dotkliwość wg Chromium)
Podatność w Chrome dla iOS (wersje przed 150.0.7871.47) umożliwia zdalnemu atakującemu ominięcie ograniczeń nawigacji za pomocą spreparowanej strony HTML. Problem wynika z niewystarczającego egzekwowania polityki bezpieczeństwa.
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie polityki bezpieczeństwa w mechanizmie SVG. Zdalny atakujący może wykorzystać tę podatność do wycieku danych z innych domen za pomocą spreparowanej strony HTML.
Podatność typu side-channel w funkcji Scroll w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu wyciek danych z innej domeny za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako wysokiego ryzyka (High) w ramach bezpieczeństwa Chromium.
Podatność w Hono przed wersją 4.10.2 (załatana w 4.10.3) w komponencie CORS middleware powoduje, że gdy źródło (origin) nie jest ustawione na "*", nagłówek Vary z żądania jest kopiowany do odpowiedzi. Atakujący może dostarczyć dowolne wartości Vary, które zostaną odbite w odpowiedzi, co prowadzi do skażenia pamięci podręcznej i niespójnego egzekwowania CORS w środowiskach z współdzielonymi pamięciami podręcznymi lub proxy.
Invoice Ninja do wersji 5.13.26 zawiera podatność na otwarte przekierowanie w portalu logowania klienta. Nieuwierzytelniony atakujący może przekierować uwierzytelnioną ofiarę na zewnętrzną, kontrolowaną przez siebie stronę, wstrzykując złośliwą wartość do parametru zapytania.
Podatność w module BPM systemu yudao-cloud przed wersją 2026.06 umożliwia uwierzytelnionemu użytkownikowi dostęp do dowolnych instancji procesów poprzez podanie identyfikatora instancji w niechronionym punkcie końcowym GET. Brak adnotacji @PreAuthorize oraz weryfikacji własności lub dzierżawy pozwala na odczyt wrażliwych danych procesu, takich jak zmienne formularzy, tożsamości osób zatwierdzających, komentarze oraz XML BPMN.

