CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Wtyczka Poll Maker – Versus Polls, Anonymous Polls, Image Polls dla WordPressa jest podatna na ujawnienie wrażliwych informacji w wersjach do 6.3.7 włącznie. Problem wynika z niewystarczających kontroli dostępu w akcji AJAX 'ays_poll_get_user_information', która serializuje i zwraca pełny obiekt WP_User, w tym hasło użytkownika w postaci hasha bcrypt, e-mail, login, datę rejestracji, role oraz wszystkie uprawnienia.
Wtyczka Post Snippets dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting we wszystkich wersjach do 4.0.19 włącznie. Problem wynika z niewystarczającego zabezpieczenia treści importowanych fragmentów podczas renderowania zmiennych JavaScript w edytorze postów.
Nieprawidłowe zarządzanie linkami symbolicznymi w instalatorze sterownika drukarki CUPS dla macOS może umożliwić lokalnemu atakującemu z uprawnieniami logowania wykorzystanie specjalnie przygotowanego linku symbolicznego podczas instalacji, co pozwala na modyfikację uprawnień do katalogów, do których normalnie nie miałby dostępu.
Nieprawidłowe zarządzanie linkami symbolicznymi w instalatorze My Image Garden dla macOS w wersji 3.6.8 lub wcześniejszej może umożliwić lokalnemu atakującemu z uprawnieniami logowania wykorzystanie specjalnie przygotowanego linku symbolicznego podczas instalacji w celu modyfikacji uprawnień plików, do których normalnie nie miałby dostępu.
W WebRTC w Google Chrome na Mac przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem, który umożliwił zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w Media w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu obejście polityki tego samego pochodzenia za pomocą spreparowanego pliku wideo.
Niewystarczająca walidacja nieufnych danych wejściowych w OptimizationGuide w Google Chrome przed wersją 148.0.7778.216 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w Media w Google Chrome na ChromeOS przed wersją 148.0.7778.216 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w Skia w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja niezaufanego wejścia w funkcji drukowania w Google Chrome przed wersją 148.0.7778.216 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w systemie iOS w przeglądarce Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przekonał użytkownika do wykonania określonych gestów interfejsu, wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w systemie iOS w przeglądarce Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 148.0.7778.216 występowała podatność na odczyt poza zakresem w ANGLE, która pozwalała zdalnemu atakującemu na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W Google Chrome na Androidzie przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem w WebGL, który umożliwiał zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Wykorzystanie niezainicjowanej zmiennej w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Wykorzystanie niezainicjowanej zmiennej w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wyciek danych między źródłami za pośrednictwem spreparowanej strony HTML.
W Google Chrome na Mac przed wersją 148.0.7778.216 wystąpiła podatność związana z zapisem poza przydzielonym obszarem pamięci. Zdalny atakujący mógł wykorzystać tę lukę poprzez spreparowaną stronę HTML.
Nieodpowiednia implementacja WebGL w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Wykryto niezainicjowane użycie w WebGL w przeglądarce Google Chrome na Androidzie przed wersją 148.0.7778.216, co umożliwia zdalnemu atakującemu wyciek informacji między różnymi źródłami za pomocą spreparowanej strony HTML.

