CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-9919
Medium

W Google Chrome na Androidzie przed wersją 148.0.7778.216 występowała podatność na odczyt danych poza przydzielonym zakresem w WebGL, co pozwalało zdalnemu atakującemu na wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9917
Medium

W Google Chrome na Androidzie przed wersją 148.0.7778.216 występowała podatność związana z niezainicjowanym użyciem w WebGL, która pozwalała zdalnemu atakującemu na uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-9913
Medium

Nieodpowiednia implementacja w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu potencjalne wykonanie dostępu do pamięci poza przydzielonym zakresem za pomocą spreparowanej strony HTML.

CVE-2026-9912
Medium

Nieodpowiednia implementacja w GPU w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-9911
Medium

Przepełnienie całkowitej liczby w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wykonanie odczytu pamięci poza dozwolonym zakresem za pomocą spreparowanej strony HTML.

CVE-2026-9908
Medium

W Google Chrome przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem w ANGLE, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-9907
Medium

W Google Chrome na systemie Windows przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem, który umożliwiał zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9903
Medium

Niewystarczająca walidacja nieufnych danych wejściowych w izolacji witryn w Google Chrome przed wersją 148.0.7778.216 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony MHTML.

CVE-2026-9882
Medium

Przepełnienie całkowitej liczby całkowitej w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.

CVE-2026-10018
Medium

Przepełnienie całkowitej liczby w ANGLE w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-10010
Medium

Nieodpowiednia implementacja w obsłudze wejścia w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.

CVE-2026-10008
Medium

Wykorzystanie niezainicjowanej pamięci w GPU w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-10004
Medium

Niewystarczająca walidacja nieufnych danych wejściowych w funkcji haseł w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu przeprowadzenie oszustwa interfejsu użytkownika za pomocą spreparowanej strony HTML.

CVE-2026-49299
Medium

W OpenStack Neutron przed wersją 28.0.1 kontroler tagowania wymusza użycie liczby mnogiej w nazwach akcji polityki dla operacji zapisu z pojedynczym tagiem, podczas gdy zdefiniowane zasady polityki używają nazw w liczbie pojedynczej. Niezgodność ta pozwala na tworzenie i aktualizowanie tagów przez czytelników projektów na zasobach w tym samym projekcie.

CVE-2026-45410
Medium

TREK to wspólna aplikacja do planowania podróży. W wersjach przed 3.0.18, w przypadku braku użytkownika podczas logowania, atakujący mógł zidentyfikować istniejące konta użytkowników na podstawie różnicy w czasie odpowiedzi.

CVE-2026-45366
Medium

Pakiet @utcp/http w typescript-utcp przed wersją 1.1.2 jest podatny na ślepą podatność typu Server-Side Request Forgery (SSRF). Problem wynika z niespójności w granicach zaufania między ręcznym odkrywaniem a wywołaniem narzędzia, co pozwala atakującemu na wykorzystanie złośliwej specyfikacji OpenAPI do skierowania żądań do wewnętrznych usług.

CVE-2026-45023
Medium

AutoGPT to platforma automatyzacji procesów, która przed wersją 0.6.59 pozwalała na wykonywanie bloków za pomocą punktu końcowego POST /api/blocks/{block_id}/execute bez zużywania kredytów, niezależnie od salda użytkownika. Sprawdzenie kredytów w ścieżce wykonania grafu nie było osiągane, gdy bloki były wywoływane bezpośrednio przez zewnętrzne API, co umożliwiało nieograniczone darmowe wykonywanie wszystkich bloków.

CVE-2026-44885
Medium

Portainer Community Edition w wersjach od 2.33.0 do przed 2.33.8 ma lukę w funkcji przywracania kopii zapasowej, która akceptuje archiwum .tar.gz i wydobywa je do docelowego katalogu na serwerze. Funkcja ekstrakcji nie zapobiega przejściu do katalogu nadrzędnego, co pozwala na zapis plików w dowolnych lokalizacjach systemu plików serwera.

CVE-2026-44884
Medium

Portainer Community Edition ma lukę w autoryzacji w punkcie końcowym pliku szablonu niestandardowego (GET /api/custom_templates/{id}/file), która pozwala każdemu uwierzytelnionemu użytkownikowi na odczytanie zawartości pliku szablonu niestandardowego poprzez enumerację sekwencyjnych identyfikatorów. Luka ta została naprawiona w wersjach 2.33.8 i 2.39.1.

CVE-2026-9646
Medium

Występuje problem z odzwierciedlonym atakiem typu cross-site scripting (XSS) w obsłudze URL-i. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwego skryptu w odpowiedzi na żądanie użytkownika.

PreviousPage 206 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS