Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W przeglądarce Google Chrome przed wersją 150.0.7871.47 wykryto przepełnienie liczby całkowitej w komponencie Chromecast. Podatność ta umożliwia zdalnemu atakującemu, który wcześniej przejął proces renderowania, potencjalną ucieczkę z piaskownicy przy użyciu spreparowanej strony HTML.
W przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 wykryto podatność Use-After-Free w komponencie Touchbar. Zdalny atakujący może wykorzystać specjalnie spreparowaną stronę HTML do potencjalnej ucieczki z piaskownicy.
Podatność Use-After-Free w komponencie GPU przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem ma wysoki priorytet bezpieczeństwa Chromium.
Podatność Use-After-Free w komponencie Bluetooth przeglądarki Google Chrome na systemie Mac przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, po przekonaniu użytkownika do wykonania określonych gestów interfejsu, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome przed wersją 150.0.7871.47 występuje podatność use-after-free w komponencie Browser. Zdalny atakujący, który przejął proces renderowania, może potencjalnie opuścić piaskownicę za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja niezaufanych danych wejściowych w bibliotece Skia w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Podatność ma krytyczny poziom ważności wg Chromium.
Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może potencjalnie uciec z piaskownicy przeglądarki za pomocą spreparowanej strony HTML.
Podatność typu Type Confusion w komponencie Dawn przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako krytyczny w ramach zabezpieczeń Chromium.
Podatność Use-After-Free w komponencie GPU przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem ma krytyczny poziom ważności wg Chromium.
Podatność w txtai do wersji 9.10.0 (załatana w commicie 11b32da) pozwala na zdalne wykonanie kodu przez endpoint API /reindex. Funkcja body parametru jest rozwiązywana przez txtai.util.Resolver, który wykonuje __import__ i getattr na ścieżce kropkowej podanej przez atakującego bez żadnej listy dozwolonych wartości.
Złośliwy lub skompromitowany serwer może sprawić, że klient DCMTK korzystający z trybu przechowywania C-GET z zachowaniem bitów zapisze pliki poza wybranym katalogiem wyjściowym, używając zarówno względnych (../) jak i bezwzględnych ścieżek.
W DokuWiki w wersji 2025-05-14b 'Librarian' 56.2 istnieje możliwość zdalnego utworzenia konta przez funkcję rejestracji w pliku inc/auth.php. Producent kwestionuje to jako podatność, ponieważ jest to zamierzone działanie przy włączonej samorejestracji (funkcja nie domyślna).
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą uwierzytelnionym atakującym wykonanie dowolnych poleceń systemu operacyjnego oraz odczyt wrażliwych plików, w tym poświadczeń. Prowadzi to do całkowitego przejęcia systemu i umożliwia ruch boczny w sieci.
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą użytkownikom z dostępem do Redis wykonanie dowolnego kodu z pełnymi uprawnieniami aplikacji. Luka ta zagraża poufności wszystkich sekretów, danych oraz integralności systemu.
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu. Problem wynika z nieprawidłowej walidacji węzłów przepływu, które mają brakujące lub puste pola typu komponentu.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w systemie pomocy konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w zintegrowanym systemie pomocy konsoli administracyjnej. Umożliwia to atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.
IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.

