Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Niewystarczające egzekwowanie polityki w dostępie do systemu plików w Google Chrome przed wersją 149.0.7827.155 umożliwia zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanego pliku PDF.
Nieodpowiednia implementacja w module Serial w Google Chrome przed wersją 149.0.7827.155 umożliwiała zdalnemu atakującemu wstrzykiwanie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w rozszerzeniach Google Chrome przed wersją 149.0.7827.155 umożliwiła atakującemu, który przekonał użytkownika do zainstalowania złośliwego rozszerzenia, obejście polityki samego pochodzenia za pomocą spreparowanego rozszerzenia Chrome.
Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki samego pochodzenia za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w Media w Google Chrome przed wersją 149.0.7827.155 umożliwiała zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w systemie haseł w Google Chrome przed wersją 149.0.7827.155 umożliwiła zdalnemu atakującemu wyciek danych między różnymi źródłami za pomocą spreparowanej strony HTML.
W systemie Windows w Google Chrome przed wersją 149.0.7827.155 wystąpił błąd odczytu poza zakresem w Chromoting, który umożliwił lokalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą złośliwego pliku.
Wtyczka Counter Box – Add Countdowns, Timers & Dynamic Counters do WordPress jest podatna na wstrzyknięcie obiektów PHP w wersjach do 2.0.13 włącznie, poprzez deserializację niezaufanych danych. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie administratora wstrzyknięcie obiektu PHP.
W SimplCommerce przed commit 6142d3b5 występuje podatność na przechowywane ataki XSS w NewsItemApiController. Umożliwia to uwierzytelnionemu administratorowi wykonanie dowolnego kodu JavaScript poprzez pola ShortContent i FullContent, które są przechowywane bez sanitizacji HTML.
W systemie uwierzytelniania występuje podatność na otwarte przekierowanie, która pozwala atakującemu na manipulację wartościami w nagłówku X-Forwarded-Host, co może prowadzić do zmiany generowanych przez aplikację adresów URL.
Podatność na otwarte przekierowanie spowodowana niewystarczającą walidacją nagłówka HTTP X-Forwarded-Host. Atakujący może stworzyć zmanipulowane linki, które po otwarciu przez ofiarę przekierowują ją na domeny kontrolowane przez atakującego.
Nieprawidłowe przetwarzanie nagłówków HTTP umożliwia zdalnemu atakującemu manipulację wartością nagłówka Host za pomocą specjalnie przygotowanych żądań. Udany atak może prowadzić do generowania zmanipulowanych linków lub odpowiedzi.
W wielu miejscach występuje możliwe trwałe zablokowanie usługi z powodu wyczerpania zasobów. Może to prowadzić do lokalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wersjach Genemy <= 1.6.6 występuje problem z kontrolą dostępu, który może umożliwić nieautoryzowanym subskrybentom dostęp do zasobów.
HCL ZIE for Web jest podatne na nieograniczone przesyłanie plików. Jeśli serwer jest skonfigurowany do wykonywania kodu, możliwe jest uzyskanie zdalnego wykonania poleceń poprzez przesłanie pliku typu web shell.
W wielu funkcjach pliku btm_sec.cc występuje możliwy sposób na przechwycenie wiadomości SMS przez atakującego z powodu błędu logicznego w kodzie. Może to prowadzić do zdalnego ujawnienia informacji bez potrzeby dodatkowych uprawnień wykonawczych.
W kliencie Netskope dla systemów Windows zidentyfikowano lukę, która pozwala złośliwemu użytkownikowi z uprawnieniami administratora na obejście zabezpieczeń NSClient Tamper. Problem wynika z słabych list kontroli dostępu (DACL) na obiektach usług i powiązanych kluczach rejestru.
W kliencie Netskope dla systemów Windows zidentyfikowano lukę, która pozwala złośliwemu użytkownikowi z uprawnieniami administratora na manipulację IOCTL klienta poprzez wysyłanie spreparowanych żądań do sterownika. Udany atak może prowadzić do ominięcia wszystkich zabezpieczeń przed manipulacją dla NSClient.
W Metro Magazine od Rara Themes występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu.

