Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
W Google Chrome na Mac przed wersją 150.0.7871.47 stwierdzono nieprawidłową implementację w komponencie DataTransfer. Zdalny atakujący, który nakłonił użytkownika do wykonania określonych gestów interfejsu, mógł wyciekać dane między źródłami za pomocą spreparowanej strony HTML.
Podatność w implementacji przechwytywania wideo w przeglądarce Google Chrome na systemie ChromeOS przed wersją 150.0.7871.47 umożliwia lokalnemu atakującemu fałszowanie interfejsu użytkownika za pomocą spreparowanej strony HTML.
Podatność w WebShare w Google Chrome na Androidzie przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może sfałszować interfejs użytkownika za pomocą spreparowanej strony HTML.
IBM InfoSphere Information Server w wersjach od 11.7.0.0 do 11.7.1.6 zawiera podatność na ujawnienie informacji. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych.
Podatność w SeaweedFS przed wersją 4.30 powoduje, że parametr wywołania zwrotnego (callback) jest odbijany bez walidacji w odpowiedziach JSON z typem MIME application/javascript. Brak nagłówka X-Content-Type-Options: nosniff oraz listy dozwolonych domen CORS umożliwia atakującemu wczytanie odpowiedzi z dowolnego punktu końcowego JSON (w tym nieuwierzytelnionych) za pomocą znacznika <script> z zewnętrznej strony.
W stosie Bluetooth Classic RFCOMM hosta Zephyra (subsys/bluetooth/host/classic/rfcomm.c) występuje wyścig (race condition) podczas jednoczesnego zrywania sesji dwukierunkowej. Gdy lokalne urządzenie inicjuje zakończenie sesji (stan BT_RFCOMM_STATE_DISCONNECTING, wysłany DISC, włączony timer RTX), a zdalny peer jednocześnie wysyła własną ramkę DISC dla dlci 0, funkcja rfcomm_handle_disc() wywołuje rfcomm_session_disconnected(), która bezwarunkowo przełącza sesję w stan BT_RFCOMM_STATE_DISCONNECTED bez wywołania bt_l2cap_chan_disconnect(). Powoduje to trwałe zablokowanie sesji: kanał L2CAP nie jest zwalniany, a slot w tablicy bt_rfcomm_pool[] nie jest odzyskiwany.
Funkcja Tarfile.extract() nieprawidłowo przekazuje parametr filtra podczas wyodrębniania dowiązań twardych. System wyodrębniający dane z niezaufanych archiwów tar może zapisać pliki z nieoczekiwanym uid/gid, mimo że użytkownik przekazał filter='data' do funkcji extract().
Podatność w bibliotece CryptX dla Perla przed wersją 0.088_001 powoduje, że porównanie tagów uwierzytelniania AEAD w ścieżce decrypt_done nie jest wykonywane w stałym czasie. Funkcja decrypt_done($tag) używa memNE (memcmp() != 0), co przerywa działanie przy pierwszej różnej bajcie, przez co czas wykonania zależy od liczby pasujących początkowych bajtów.
W bibliotece MDEx wykryto podatność na ataki XSS (stored i reflected) poprzez nieprawidłową neutralizację danych wejściowych w Markdown. Atakujący może wstrzyknąć dowolny kod HTML/JavaScript, który wykona się w przeglądarce każdego użytkownika wyświetlającego przetworzoną treść.
Podatność w Invidious przed wersją 2.20260626.0 umożliwia nieuwierzytelnionym atakującym odczytanie zawartości prywatnych playlist poprzez endpoint RSS feed. Atakujący może podać identyfikator playlisty, aby uzyskać pełną listę filmów, adres e-mail właściciela oraz powiązane wpisy wideo bez żadnego uwierzytelnienia.
W Snowflake CLI przed wersją 3.19 stwierdzono podatność polegającą na nieprawidłowej neutralizacji lokalnych parametrów CLI, co umożliwiało niezamierzone wykonanie poleceń SQL. Atakujący mógł wykorzystać ten problem poprzez dostarczenie spreparowanych wartości do podatnych poleceń Cortex SQL lub ścieżek wyświetlania obiektów, powodując wykonanie niezamierzonego SQL w kontekście sesji użytkownika.
W bibliotece PcapPlusPlus 25.05 w funkcji parse_by_block_type pliku light_pcapng.c występuje podatność na przepełnienie bufora sterty. Atakujący może zdalnie wykorzystać tę lukę poprzez manipulację argumentem captured_packet_length, jednak wymaga to wysokiej złożoności i jest trudne do przeprowadzenia.
W bibliotece LLVM (projekt llvm-project) do wersji 22.1.6 wykryto podatność w funkcji GCRelocateInst::getBasePtr w pliku IntrinsicInst.cpp. Manipulacja danymi wejściowymi w obsłudze plików Bitcode powoduje przepełnienie bufora sterty. Atak może być przeprowadzony lokalnie, a exploit został publicznie ujawniony.
W bibliotece llvm-project do wersji 22.1.6 wykryto podatność w funkcji llvm::StringMap::insert w komponencie ValueSymbolTable. Manipulacja danymi prowadzi do przepełnienia bufora na stosie. Atak wymaga dostępu lokalnego, a exploit został opublikowany.
W systemie SourceCodester Inventory Management System 1.0 wykryto podatność na atak XSS w pliku /api/users_handler.php. Manipulacja argumentem full_name w endpointcie rejestracji użytkownika umożliwia zdalne wykonanie skryptu. Exploit jest publicznie dostępny.
W systemie CodeAstro Complaint Management System 1.0 wykryto podatność na atak XSS (Cross-Site Scripting) w komponencie Report Handler. Problem występuje podczas przetwarzania pliku /report/addreport, gdzie manipulacja argumentem Report Title umożliwia wstrzyknięcie złośliwego skryptu. Atak może być przeprowadzony zdalnie, a exploit został upubliczniony.
W systemach Hitachi Virtual Storage Platform One Block 23, 24, 26, 28 brakuje walidacji aktualizacji oprogramowania układowego (firmware). Luka ta występuje w wersjach przed DKCMAIN A3-04-21-40/00 oraz ESM A3-04-21/00.
W komponencie ISOBMFF Parser biblioteki GPAC do wersji 26.02.0 wykryto słabość w pliku src/utils/base_encoding.c. Lokalny atakujący może wykorzystać manipulację prowadzącą do nadmiernie skompresowanych danych, co może skutkować niekontrolowanym wzrostem rozmiaru danych po dekompresji. Publicznie dostępny exploit zwiększa ryzyko wykorzystania podatności.
W aplikacji Chess Play and Learn na Androida do wersji 4.9.42 wykryto słabość związaną z przetwarzaniem pliku AndroidManifest.xml w komponencie com.chess. Manipulacja tym plikiem powoduje ujawnienie pliku kopii zapasowej poza kontrolowaną strefę. Atak wymaga fizycznego dostępu do urządzenia.
W VoltAgent do wersji 2.1.17 wykryto podatność w komponencie Memory REST API. Funkcja handleGetMemoryConversation w pliku memory.handlers.ts nieprawidłowo autoryzuje dostęp po manipulacji argumentem conversationId. Atak może być przeprowadzony zdalnie, ale jest trudny do wykorzystania ze względu na wysoką złożoność.

