Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Niewystarczające egzekwowanie polityki w CustomTabs w Google Chrome na Androidzie przed wersją 149.0.7827.53 umożliwia zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w WebAuthentication w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie polityki samego pochodzenia za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja nieufnych danych wejściowych w Loaderze w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, ominięcie izolacji witryn za pomocą spreparowanej strony HTML.
W OpenStack Neutron przed wersją 28.0.1, menedżer projektu może tworzyć lub aktualizować port w udostępnionej sieci należącej do innego projektu, ustawiając device_owner na wartość zaczynającą się od 'network:'. Domyślne zasady RBAC portów błędnie uwzględniały PROJECT_MANAGER bez wymogu posiadania sieci, co pozwalało na uzyskanie zaufanego zachowania portu usługi sieciowej na udostępnionych sieciach.
W LMCache do wersji 0.4.6 znaleziono lukę, która dotyczy funkcji hex_hash_to_int16 w pliku lmcache/integration/vllm/utils.py komponentu KV Cache Handler. Manipulacja tą funkcją może prowadzić do użycia słabego hasha.
Strawberry GraphQL to biblioteka do tworzenia interfejsów API GraphQL. W wersjach od 0.288.4 do 0.315.3, szablon GraphiQL zapisywał wartości z edytora nagłówków GraphiQL w ciągu zapytań URL przeglądarki, co mogło prowadzić do ujawnienia wrażliwych danych.
Wykryto podatność w zilliztech GPTCache do wersji 0.1.44, dotycząca funkcji BufferedReader.peek w pliku gptcache/processor/pre.py. Manipulacja argumentem input_data['image'] prowadzi do użycia słabego hasha.
HCL BigFix Cloud Lifecycle Management jest podatny na brak walidacji danych wejściowych. Ta niska podatność umożliwia nieautoryzowany dostęp i może prowadzić do ujawnienia informacji.
W bibliotece Streamlit do wersji 1.53.0 zidentyfikowano podatność w nieznanej funkcji komponentu Palette Handler, która prowadzi do użycia słabego hasha. Wymagana jest lokalna dostępność, aby przeprowadzić atak.
W MLflow w wersjach do 3.10.0 znaleziono lukę w funkcji mlflow.data.digest_utils w pliku mlflow/data/digest_utils.py, która dotyczy obliczania skrótów zbiorów danych. Problem ten prowadzi do użycia słabego skrótu, co może umożliwić atak na lokalnym hoście.
HCL iControl w wersji 4.0.0 jest podatny na ujawnienie śladu stosu z powodu nieobsłużonego wyjątku. Problem występuje, gdy w kodzie JavaScript aplikacji próbuje się uzyskać dostęp do niezdefiniowanej właściwości obiektu.
HCL iControl był podatny na lukę związaną z brakującymi nagłówkami zabezpieczeń, co prowadziło do ataków typu cross-site scripting (XSS) poprzez wykorzystanie wbudowanych mechanizmów filtrowania XSS w nowoczesnych przeglądarkach internetowych.
HCL iControl jest podatny na lukę związaną z brakującymi atrybutami ciasteczek. Zauważono, że aplikacja nie posiada kilku krytycznych atrybutów ciasteczek, w tym Secure i SameSite, a także ścieżka jest ustawiona na root.
Wykryto podatność w modelscope ms-swift do wersji 4.2.0, dotycząca funkcji Template._save_pil_image w pliku swift/template/base.py. Manipulacja prowadzi do użycia słabego hasha.
Zidentyfikowano słabość w PaddlePaddle FastDeploy do wersji 2.4.1, dotyczącą funkcji hash_features w pliku fastdeploy/multimodal/hasher.py komponentu MultimodalHasher. Manipulacja może prowadzić do użycia słabego hasha.
W gradio-app w wersji 6.14.0 odkryto lukę bezpieczeństwa w funkcji save_audio_to_cache komponentu Audio Cache Key Handler. Manipulacja tą funkcją prowadzi do użycia słabego hasha.
Wykryto podatność w sgl-project SGLang do wersji 0.5.11, dotycząca funkcji data_hash w komponencie Cache Handler. Manipulacja ta prowadzi do odmowy usługi, a atak jest ograniczony do lokalnego wykonania.
Wykryto podatność w mlrun do wersji 1.12.0-rc3, która dotyczy funkcji mlrun.utils.helpers.calculate_dataframe_hash w pliku mlrun/utils/helpers.py. Manipulacja prowadzi do użycia słabego hasha.
W Django w wersjach 5.2 przed 5.2.15 oraz 6.0 przed 6.0.6 występuje problem z `django.middleware.cache.UpdateCacheMiddleware`, który nie porównuje dyrektyw `Cache-Control` w sposób niewrażliwy na wielkość liter. To pozwala zdalnym atakującym na odczyt odpowiedzi, które zostały błędnie zbuforowane z powodu użycia wielkich lub mieszanych liter w dyrektywach `Cache-Control`.
W Django 6.0 przed wersją 6.0.6 oraz 5.2 przed wersją 5.2.15 występuje problem z `django.core.mail.backends.smtp.EmailBackend`, który nie zapobiega ponownemu użyciu częściowo zainicjowanej koneksji po nieudanym handshake `STARTTLS` przy ustawieniu `fail_silently=True. To umożliwia atakującym na ścieżce sieciowej odczytanie treści e-maili poprzez przechwytywanie w czystym tekście.

