Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.10)
Podatność CVE-2026-4717 dotyczy eskalacji uprawnień w komponencie Netmonitor. Została naprawiona w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność CVE-2026-4716 dotyczy nieprawidłowych warunków granicznych oraz niezainicjowanej pamięci w komponencie silnika JavaScript. Została naprawiona w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność CVE-2026-4715 dotyczy niezinicjalizowanej pamięci w komponencie Graphics: Canvas2D. Została naprawiona w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność typu use-after-free w komponencie Widget: Cocoa. Została naprawiona w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
W komponentach Audio/Video występują nieprawidłowe warunki graniczne, co prowadzi do podatności. Problem został naprawiony w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
W WebRTC występuje nieokreślone zachowanie w komponencie sygnalizacji. Ta podatność została naprawiona w Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
W podatności CVE-2026-4702 występuje błąd w kompilacji Just-In-Time (JIT) w komponencie silnika JavaScript. Problem ten został naprawiony w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność typu use-after-free w komponencie silnika JavaScript. Została naprawiona w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność umożliwia obejście zabezpieczeń w komponencie sieciowym HTTP przeglądarki Firefox i klienta poczty Thunderbird. Luka została załatana w wersjach Firefox 149, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
W silniku JavaScript przeglądarki Firefox i klienta poczty Thunderbird wykryto błąd kompilacji JIT, który może prowadzić do nieprawidłowego działania kodu. Luka została załatana w wersjach Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
W komponencie Layout: Text and Fonts przeglądarki Firefox i klienta poczty Thunderbird wykryto podatność use-after-free. Luka została załatana w wersjach Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność umożliwia ucieczkę z piaskownicy w komponencie Responsive Design Mode w przeglądarce Firefox i kliencie pocztowym Thunderbird. Luka została załatana w wersjach Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność use-after-free w komponencie przetwarzania i obliczania CSS w przeglądarce Firefox i kliencie poczty Thunderbird. Luka została naprawiona w wersjach Firefox 149, Firefox ESR 115.34, Firefox ESR 140.9, Thunderbird 149 oraz Thunderbird 140.9.
Podatność umożliwia ucieczkę z sandboksa z powodu nieprawidłowych warunków brzegowych i przepełnienia liczb całkowitych w komponencie XPCOM. Luka została naprawiona w przeglądarce Firefox 149 oraz wersjach ESR 115.34 i 140.9, a także w kliencie pocztowym Thunderbird 149 i 140.9.
Podatność umożliwia ucieczkę z piaskownicy z powodu błędu use-after-free w komponencie Disability Access APIs. Luka została naprawiona w przeglądarce Firefox 149, Firefox ESR 140.9 oraz klientach poczty Thunderbird 149 i Thunderbird 140.9.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. W wersjach przed 1.9.0 występuje podatność na zdalne wstrzyknięcie powłoki bez uwierzytelnienia w wielu workflow GitHub Actions, co pozwala atakującym na wstrzykiwanie i wykonywanie dowolnych poleceń powłoki.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy zasilanych sztuczną inteligencją. Wersje od 1.2.0 do 1.8.1 mają lukę, która omija poprawkę dla CVE-2025-68478, co prowadzi do nierozwiązania podstawowego problemu architektonicznego w `LocalStorageService`. W wyniku braku odpowiednich kontroli, punkt końcowy `POST /api/v2/files/` jest podatny na zapis dowolnych plików.
Tabs Mail Carrier w wersji 2.5.1 zawiera podatność na przepełnienie bufora w komendzie MAIL FROM SMTP, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysłanie spreparowanego parametru MAIL FROM. Atakujący mogą połączyć się z usługą SMTP na porcie 25 i wysłać złośliwą komendę MAIL FROM z nadmiernym buforem.
Download Accelerator Plus DAP w wersji 10.0.6.0 zawiera podatność na przepełnienie bufora w obsłudze wyjątków, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez stworzenie złośliwych adresów URL. Atakujący mogą stworzyć specjalnie przygotowane adresy URL z danymi przepełniającymi bufor, które nadpisują wskaźniki SEH i wykonują osadzony kod powłoki.
Podatność CWE-20 w MolotovCherry Android-ImageMagick7 dotyczy wersji przed 7.1.2-11. Problem ten może prowadzić do nieprawidłowego przetwarzania danych wejściowych.

