Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
W wersjach MetForm Pro do 3.9.1 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym subskrybentom dostęp do zasobów.
W wersjach WishList Member X do 3.29.0 występuje problem z kontrolą dostępu, który może prowadzić do nieautoryzowanego dostępu do subskrybentów.
W bibliotece vLLM wykryto podatność związaną z nieprawidłowym przetwarzaniem metadanych obrazów, takich jak orientacja EXIF i przezroczystość PNG (tRNS). Podczas konwersji obrazów do RGB informacje o przezroczystości są pomijane lub mapowane w nieoczekiwany sposób, co prowadzi do zniekształcenia treści wejściowej. Może to spowodować błędną interpretację obrazu przez model.
W Google Chrome na Androidzie przed wersją 149.0.7827.155 wystąpiło nieprawidłowe użycie niezainicjowanej pamięci w GPU, co pozwalało zdalnemu atakującemu na wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w widokach w Google Chrome na systemie Linux przed wersją 149.0.7827.155 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wstrzykiwanie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
W WebRTC w Google Chrome na systemie Windows przed wersją 149.0.7827.155 wystąpił błąd odczytu poza zakresem, który umożliwił zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Niewystarczające egzekwowanie polityki w dostępie do systemu plików w Google Chrome przed wersją 149.0.7827.155 umożliwia zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanego pliku PDF.
Nieodpowiednia implementacja w module Serial w Google Chrome przed wersją 149.0.7827.155 umożliwiała zdalnemu atakującemu wstrzykiwanie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.155 umożliwiła atakującemu, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia, obejście polityki samego pochodzenia za pomocą spreparowanego rozszerzenia Chrome.
Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki samego pochodzenia za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w Media w Google Chrome przed wersją 149.0.7827.155 umożliwiała zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
W systemie Windows w Google Chrome przed wersją 149.0.7827.155 wystąpił błąd odczytu poza zakresem w Chromoting, który umożliwił lokalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą złośliwego pliku.
Wtyczka Counter Box – Add Countdowns, Timers & Dynamic Counters do WordPress jest podatna na wstrzyknięcie obiektów PHP w wersjach do 2.0.13 włącznie, poprzez deserializację niezaufanych danych. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzyknięcie obiektu PHP.
W SimplCommerce przed commit 6142d3b5 występuje podatność na przechowywane ataki XSS w NewsItemApiController. Umożliwia to uwierzytelnionemu administratorowi wykonanie dowolnego kodu JavaScript poprzez pola ShortContent i FullContent, które są przechowywane bez sanitizacji HTML.
W systemie uwierzytelniania występuje podatność na otwarte przekierowanie, która pozwala atakującemu na manipulację wartościami w nagłówku X-Forwarded-Host, co może prowadzić do zmiany generowanych przez aplikację adresów URL.
Podatność na otwarte przekierowanie spowodowana niewystarczającą walidacją nagłówka HTTP X-Forwarded-Host. Atakujący może stworzyć zmanipulowane linki, które po otwarciu przez ofiarę przekierowują ją na domeny kontrolowane przez atakującego.
Nieprawidłowe przetwarzanie nagłówków HTTP umożliwia zdalnemu atakującemu manipulację wartością nagłówka Host za pomocą specjalnie przygotowanych żądań. Udany atak może prowadzić do generowania zmanipulowanych linków lub odpowiedzi.
W wielu miejscach występuje możliwe trwałe zablokowanie usługi z powodu wyczerpania zasobów. Może to prowadzić do lokalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.

