Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Niewystarczająca walidacja nieufnych danych wejściowych w DevTools w Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Niewystarczająca walidacja niezaufanego wejścia w rozszerzeniach Google Chrome przed wersją 149.0.7827.53 umożliwiła zdalnemu atakującemu, który przejął proces renderowania, obejście polityki tego samego pochodzenia za pomocą spreparowanej strony HTML.
W projekcie Online Art Gallery Shop Project 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji w pliku /admin/adminHome.ph. Manipulacja argumentem social_twitter prowadzi do wstrzykiwania SQL.
Zidentyfikowano podatność w projekcie projectworlds Online Art Gallery Shop Project w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /admin/adminHome.php, gdzie manipulacja argumentem social_insta prowadzi do wstrzyknięcia SQL.
Na podatnych platformach działających na Arista EOS z skonfigurowanym MACsec i ACL na tych samych interfejsach, polityki ACL mogą nie być egzekwowane dla pakietów wychodzących na tych portach. Może to spowodować, że wychodzące pakiety będą błędnie dozwolone lub zablokowane.
Na podatnych platformach działających na Arista EOS z skonfigurowaną autoryzacją 802.1x na portach dostępowych/ trunkowych oraz włączonym routowaniem na VLAN dostępowym, złośliwy klient może być w stanie obejść wymóg przeprowadzenia autoryzacji 802.1x.
IRIS to platforma współpracy internetowej, która umożliwia responderom incydentów dzielenie się szczegółami technicznymi podczas dochodzeń. W wersjach przed 2.4.28 użytkownicy mogą tworzyć alerty dla klientów, którzy nie są im przypisani, co może prowadzić do fałszywego przypisywania alertów do klientów.
IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 są podatne na atak typu cross-site request forgery, ponieważ używają metody HTTP `GET` do zmiany stanu na serwerze.
IRIS to internetowa platforma współpracy, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 pozwalają użytkownikowi na modyfikację wartości w bazie danych za pomocą zmanipulowanych żądań API. Wersja 2.4.28 zawiera poprawkę.
IRIS to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zwracają wrażliwe dane do użytkownika, które nie są wymagane do działania klienta.
Hermes WebUI przed wersją v0.51.221 zawiera podatność na traversję ścieżki, która pozwala atakującym na opuszczenie granic przestrzeni roboczej poprzez dostarczenie symlinków prowadzących do plików lub katalogów poza wyznaczonym katalogiem głównym przestrzeni roboczej. Atakujący mogą wykorzystać API do plików i listowania przestrzeni roboczej, które nie egzekwują, aby ostateczna ścieżka pozostawała w obrębie przestrzeni roboczej.
W systemie EOS firmy Arista, w trybie 802.1X, nieautoryzowane hosty mogą uzyskać dostęp do portu przełącznika, jeśli w VLAN fallback znajduje się urządzenie obsługujące EAPOL.
W podsystemie gniazd sieciowych Zephyr RTOS (subsys/net/lib/sockets/sockets_tls.c) wykryto podatność na zapis/odczyt poza dozwolonym obszarem pamięci. Gdy pamięć podręczna sesji TLS jest włączona, funkcje tls_session_store() i tls_session_restore() kopiują adres dostarczony przez wywołującego do bufora o stałym rozmiarze, używając wartości addrlen kontrolowanej przez wywołującego, bez walidacji względem rozmiaru docelowego. Może to prowadzić do awarii, odmowy usługi, a potencjalnie do wykonania dowolnego kodu.
IRIS to platforma internetowa wspierająca współpracę w zakresie reagowania na incydenty. Wersje przed 2.4.28 nieprawidłowo walidują przesyłane pliki, co może prowadzić do wykorzystania aplikacji do hostowania stron phishingowych oraz wprowadza dodatkową podatność typu Cross-Site Scripting (XSS). Wersja 2.4.28 zawiera poprawkę.
Iris to platforma współpracy internetowej, która wspiera zespoły reagujące na incydenty w dzieleniu się szczegółami technicznymi podczas dochodzeń. Wersje przed 2.4.28 zawierają lukę, która pozwala atakującemu na przekierowanie użytkownika na złośliwą stronę internetową.
W funkcji bt_mesh_sol_recv() w stosie Bluetooth Mesh Zephyr występuje podatność na niedomiar liczby całkowitej, prowadząca do zapisu poza dozwolonym obszarem pamięci. Atakujący z pobliskiego urządzenia BLE może wysłać spreparowany pakiet reklamowy, który wykorzystując tę lukę, może spowodować awarię systemu lub potencjalnie wykonać dowolny kod.
NAVTOR NavBox w wersjach do 4.16.1.20 zawiera twardo zakodowane dane uwierzytelniające w swojej implementacji Windows Communication Foundation (SOAP). W przypadku włączonej funkcjonalności SOAP, lokalny atakujący może wydobyć te dane, omijając zamierzony proces transferu.
Kodowanie netty incubator codec.bhttp to parser binarny HTTP w języku Java. W wersji przed 0.0.22.Final implementacja codec-ohttp nie weryfikuje, czy otrzymano kryptograficznie podpisany ostatni fragment przed zakończeniem zewnętrznego ciała HTTP.
quic-go to implementacja protokołu QUIC w języku Go. Przed wersją 0.59.1, atakujący mógł spowodować nadmierne przydzielanie pamięci w implementacjach klienta i serwera HTTP/3, wysyłając zakodowaną w QPACK ramkę HEADERS, która dekoduje się do dużej sekcji trailer field z wieloma unikalnymi nazwami pól i/lub dużymi wartościami.
Brak górnego limitu w funkcji udpif_set_threads() w Open vSwitch v3.6.90 umożliwia atakującemu z dostępem do zapisu OVSDB żądanie nadmiernej liczby wątków obsługi lub rewalidacji. Może to prowadzić do odmowy usługi (DoS) z powodu wyczerpania zasobów.

