Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Podatność w Capgo console.capgo.app/login przed wersją 12.128.2 polega na akceptowaniu tokenów access_token i refresh_token w parametrach zapytania URL, co umożliwia automatyczne uwierzytelnianie użytkowników bez ich potwierdzenia. Atakujący mogą tworzyć złośliwe linki, które zmuszają ofiary do korzystania z sesji kontrolowanych przez atakującego, narażając tokeny na ujawnienie w historii przeglądarki i logach.
Biblioteka c3p0 w wersjach przed 0.14.0, w połączeniu z innymi bibliotekami, może stanowić „sink” dla gadżetów deserializacji. Atakujący może stworzyć złośliwy obiekt DataSource, który podczas deserializacji i automatycznego rozwiązywania właściwości JavaBean wywołuje podatny sterownik JDBC, co prowadzi do zdalnego wykonania kodu.
Storage Concentrator (SC i SCVM) jest podatny na odbite cross-site scripting z powodu nieoczyszczonej treści zwracanej w stronach błędów 404. Atakujący może stworzyć złośliwy URL, który po odwiedzeniu przez uwierzytelnionego użytkownika powoduje wykonanie dowolnego skryptu w kontekście aplikacji w przeglądarce ofiary.
W SolarWinds Database Performance Analyzer wykryto podatność na przechowywany skrypt między witrynami (stored XSS). Jej wykorzystanie może prowadzić do nieautoryzowanego wykonania skryptów w kontekście przeglądarki użytkownika.
W Google Chrome przed wersją 150.0.7871.47 wykryto niewystarczające egzekwowanie zasad w StorageAccessAPI. Luka umożliwia zdalnemu atakującemu, który przejął proces renderowania, ominięcie polityki samego pochodzenia za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie zasad w interfejsie StorageAccessAPI, co umożliwiało zdalnemu atakującemu wyciek danych między źródłami za pomocą spreparowanej strony HTML.
Podatność w DevTools w Google Chrome przed wersją 150.0.7871.47 umożliwia atakującemu, który przekona użytkownika do zainstalowania złośliwego rozszerzenia, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanego rozszerzenia Chrome.
Podatność w komponencie Glic w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, po przekonaniu użytkownika do wykonania określonych gestów interfejsu, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka.
W przeglądarce Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w funkcji mowy. Umożliwiło to zdalnemu atakującemu, który przejął proces renderowania, podszywanie się pod interfejs użytkownika za pomocą spreparowanej strony HTML.
Podatność typu Type Confusion w komponencie CSS przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome przed wersją 150.0.7871.47 stwierdzono nieprawidłową implementację w CSS, która umożliwiała zdalnemu atakującemu wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka (Low).
Podatność w przeglądarce Google Chrome przed wersją 150.0.7871.47 wynika z nieprawidłowej implementacji w CSS. Zdalny atakujący może wyciec dane z innego pochodzenia za pomocą spreparowanej strony HTML.
Podatność w implementacji CSS w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wstrzyknięcie dowolnych skryptów lub HTML (UXSS) za pomocą spreparowanej strony HTML.
Podatność w interfejsie widoków Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, po nakłonieniu użytkownika do wykonania określonych gestów interfejsu, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanej strony HTML.
Podatność w Google Chrome na iOS przed wersją 150.0.7871.47 dotyczy nieprawidłowego interfejsu bezpieczeństwa w funkcji haseł. Zdalny atakujący może wykorzystać spreparowaną stronę HTML do fałszowania interfejsu użytkownika.
Podatność w rozszerzeniach Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność w funkcji Document Picture-in-Picture w przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu podszywanie się pod domenę za pomocą spreparowanej strony HTML. Problem wynika z nieprawidłowego interfejsu bezpieczeństwa w tej funkcji.
W przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych. Luka ta umożliwia zdalnemu atakującemu podszywanie się pod interfejs użytkownika za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 150.0.7871.47 stwierdzono nieprawidłową implementację w komponencie TabStrip. Zdalny atakujący, który nakłonił użytkownika do wykonania określonych gestów interfejsu, mógł przeprowadzić fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML.
Podatność w mechanizmie WebAppInstalls w przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który nakłonił użytkownika do wykonania określonych gestów interfejsu, przeprowadzenie fałszowania interfejsu użytkownika za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka.

