CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Nieprawidłowy eksport komponentów aplikacji na Androida w SpriteWallpaper przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Błędne przypisanie uprawnień w Telephony przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.
Nieprawidłowe zarządzanie niewystarczającymi uprawnieniami w SecTelephonyProvider przed wydaniem SMR Jun-2026 Release 1 umożliwia lokalnym atakującym dostęp do plików z uprawnieniami.
HCL Digital Experience and HCL Digital Experience Compose could be susceptible to Host header injection. An attacker can manipulate the Host header and cause the application to behave in unexpected ways.
HCL Digital Experience Compose is affected by a reflected XSS vulnerability in the search center. An attacker could execute arbitrary JavaScript in the victim's browser.
The 'decompress' package is vulnerable to Arbitrary File Write via Zip Slip when extracting a crafted ZIP archive with two entries sharing the same path: a symlink followed by a regular file. The file content is written through the symlink to an arbitrary location outside the output directory, bypassing existing path traversal protections including 'preventWritingThroughSymlink' added for CVE-2020-12265.
W Znuny LTS przed wersją 6.5.21 oraz w Znuny przed wersją 7.3.3 występuje podatność na refleksyjny XSS w widoku administracyjnym logu komunikacji.
W wersjach Znuny LTS przed 6.5.21 oraz Znuny przed 7.3.3 może wystąpić podatność typu XSS poprzez przechowywane preferencje użytkowników.
W Mimecast Incydr przed wersją 2.6.0 może wystąpić nieautoryzowany dostęp do dowolnych plików.
OpenAI Atlas przed wersją 1.2025.288.15 ujawniał uprzywilejowane API przeglądarki dla treści webowych na domenach *.openai.com. Wykorzystanie podatności typu cross-site scripting na forum.openai.com mogło umożliwić dostęp do tych funkcji, co pozwalało na przeglądanie historii przeglądarki oraz otwieranie lub zamykanie kart.
In OpenStack Ironic versions 32 through 36.x before 37.0.0, an unauthenticated attacker can submit a crafted JSON string to certain API or JSON-RPC endpoints, causing a service crash.
Insufficient policy enforcement in History in Google Chrome prior to version 149.0.7827.53 allowed a remote attacker to perform UI spoofing via a crafted HTML page.
Inappropriate implementation in Extensions in Google Chrome prior to version 149.0.7827.53 allowed an attacker who convinced a user to install a malicious extension to perform privilege escalation via a crafted Chrome Extension.
Insufficient policy enforcement in Chrome for iOS prior to version 149.0.7827.53 allows a remote attacker to bypass access controls via a crafted HTML page.
Inappropriate implementation in Permissions in Google Chrome prior to version 149.0.7827.53 allowed a remote attacker to perform UI spoofing via a crafted HTML page.
Integer overflow in Fonts in Google Chrome prior to version 149.0.7827.53 allowed a remote attacker to obtain potentially sensitive information from process memory via a crafted HTML page.
Inappropriate implementation in Chrome for iOS prior to version 149.0.7827.53 allowed a remote attacker to bypass same origin policy via a crafted HTML page.
Inappropriate implementation in Passwords in Google Chrome prior to version 149.0.7827.53 allowed a remote attacker to perform UI spoofing via a crafted HTML page.
Insufficient policy enforcement in Blink in Google Chrome prior to version 149.0.7827.53 allowed a remote attacker to bypass content security policy via a crafted HTML page.
Inappropriate implementation in Android Autofill in Google Chrome on Android prior to version 149.0.7827.53 allowed a remote attacker to bypass same origin policy via a crafted HTML page.

