Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Flowise przed wersją 3.1.0 (dotknięte wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego sekretu ('flowise') dla middleware express-session, gdy zmienna środowiskowa EXPRESS_SESSION_SECRET nie jest ustawiona. Ponieważ ten domyślny sekret jest publicznie widoczny w kodzie źródłowym, atakujący może sfałszować ważne podpisane ciasteczka sesji, aby podszyć się pod dowolnego użytkownika i ominąć uwierzytelnianie.
Podatność SQL injection w Storage Concentrator (SC & SCVM) występuje przez wartości ciasteczek przetwarzane przez skrypty login.pl i debug.pl. Niezabezpieczone dane z ciasteczek są bezpośrednio włączane do zapytań do bazy danych, co pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami i wyodrębnienie wrażliwych informacji, takich jak tokeny sesji, hashe haseł i tajne klucze.
Storage Concentrator (SC & SCVM) zawiera zakodowane na stałe poświadczenia dla wielu wewnętrznych usług, przechowywane w pliku konfiguracyjnym. Mimo że poświadczenia są zakodowane, kodowanie to można odwrócić do postaci jawnego tekstu.
Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu i zapisu poza dozwolonym zakresem pamięci.
Podatność Use-After-Free w komponencie Chromoting w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez złośliwy ruch sieciowy. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność w DevTools w Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem wynika z nieprawidłowej implementacji w DevTools.
Podatność Use-After-Free w komponencie Updater przeglądarki Google Chrome na systemie Windows przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Niewystarczające egzekwowanie zasad w komponencie Mojo w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiało zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie Text. Umożliwiło to zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie WebAppInstalls. Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w piaskownicy poprzez spreparowaną stronę HTML.
W przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie zasad w mechanizmie Sandbox. Luka umożliwiała zdalnemu atakującemu, który wcześniej przejął proces renderowania, potencjalne opuszczenie piaskownicy za pomocą spreparowanej strony HTML.
Podatność w komponencie WebAppInstalls w przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Podatność w przeglądarce Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającego egzekwowania zasad bezpieczeństwa. Zdalny atakujący, który wcześniej przejął proces renderowania, może potencjalnie opuścić sandbox za pomocą spreparowanej strony HTML.
Podatność Use-after-free w komponencie Cast przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Podatność w komponencie Media przeglądarki Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może potencjalnie opuścić sandbox za pomocą spreparowanego pliku wideo.
Podatność w funkcji Device Trust w przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Umożliwia ona zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy za pomocą spreparowanej strony HTML.
Podatność Use-After-Free w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność Use-After-Free w komponencie GetUserMedia w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
W przeglądarce Google Chrome przed wersją 150.0.7871.47 wykryto niewystarczającą walidację niezaufanych danych wejściowych na stronie nowej karty. Luka ta umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML.
Podatność w Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającego egzekwowania polityki w komponencie GPU. Zdalny atakujący, który przejął proces renderowania, mógł potencjalnie opuścić piaskownicę przeglądarki za pomocą spreparowanej strony HTML.

