Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
Plik acer_cgi.log w oprogramowaniu urządzenia jest dostępny bez uwierzytelnienia przez interfejs webowy. Zawiera on dane logowania w postaci niezaszyfrowanej, co prowadzi do nieautoryzowanego dostępu do systemu.
Specjalnie przygotowane wiadomości MQTT mogą wywołać wstrzyknięcie poleceń, co prowadzi do wykonania kodu na poziomie roota na docelowym urządzeniu.
Punkty końcowe webowe przeznaczone dla aplikacji Acer Connect nieprawidłowo walidują nagłówek autoryzacji HTTP, co prowadzi do braku blokowania żądań, gdy dekodowanie Base64 kończy się niepowodzeniem.
Wtyczka OTP Login With Phone Number, OTP Verification dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 1.8.50 do 1.8.60. Problem wynika z braku powiązania sesji Firebase z numerem telefonu podanym w żądaniu, co umożliwia atakującym uwierzytelnienie się jako dowolny użytkownik posiadający numer telefonu w metadanych użytkownika.
Wtyczka WP Maps Pro dla WordPressa jest podatna na eskalację uprawnień poprzez tworzenie konta administratora we wszystkich wersjach do i włącznie z 6.1.0. Problem wynika z rejestracji akcji AJAX wpgmp_temp_access_ajax z użyciem wp_ajax_nopriv_ oraz ochrony jedynie przez sprawdzenie nonce, co czyni tę kontrolę dostępu nieskuteczną.
W Google Chrome przed wersją 148.0.7778.216 wystąpiła podatność na zapis poza granicami w GPU, która mogła umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Nieodpowiednia implementacja w Tint w Google Chrome przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w rozszerzeniach Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderera, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanego rozszerzenia Chrome.
W Google Chrome na Mac przed wersją 148.0.7778.216 wystąpiła podatność typu use after free w module Base, która mogła pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Bluetooth w Google Chrome na Macu przed wersją 148.0.7778.216 umożliwia atakującemu, który przekona użytkownika do zainstalowania złośliwego rozszerzenia, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanego rozszerzenia Chrome.
Wykorzystanie po zwolnieniu pamięci w WebGL w Google Chrome na Androidzie przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome na Androidzie przed wersją 148.0.7778.216 wystąpił błąd odczytu poza zakresem w WebGL, który mógł umożliwić zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w Dawn w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu potencjalne przeprowadzenie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome na Androidzie przed wersją 148.0.7778.216 wystąpił błąd zapisu poza granicami w GPU, który umożliwiał zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień poprzez obejście walidacji we wszystkich wersjach do 0.9.2.5. Luka ta pozwala nieautoryzowanym atakującym na utworzenie konta użytkownika z uprawnieniami administratora.
Portainer Community Edition to platforma do zarządzania aplikacjami kontenerowymi, która w wersjach od 2.33.0 do przed 2.33.8, 2.39.2 i 2.41.0 umożliwia wdrażanie stosów z repozytoriów Git. W trakcie tworzenia lub aktualizacji stosu, Portainer klonuje repozytorium, co może prowadzić do nieautoryzowanego dostępu do plików w systemie operacyjnym poprzez symlinki.
Metody dostępne dla uwierzytelnionych użytkowników pozwalają na tworzenie i wykonywanie dowolnego kodu JavaScript na serwerze. Skrypty są wykonywane z pełnym dostępem, co umożliwia całkowite przejęcie systemu, ponieważ polecenia są wykonywane jako root.
Podatność w Oracle REST Data Services (komponent: Backend-as-a-Service) dotyczy wersji 24.2.0-26.1.0. Umożliwia łatwe wykorzystanie przez nieautoryzowanego atakującego z dostępem do sieci przez HTTPS, co może prowadzić do przejęcia Oracle REST Data Services.
Podatność w Oracle REST Data Services (komponent: Core) dotyczy wersji 24.2.0-26.1.0. Łatwo eksploatowalna podatność pozwala atakującemu z niskimi uprawnieniami, mającemu dostęp do sieci przez HTTPS, na przejęcie Oracle REST Data Services.
Podatność w komponencie Net Service serwera bazy danych Oracle, dotykająca wersji 23.4.0-23.26.2. Umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez TLS przejęcie Net Service, co może znacząco wpłynąć na inne produkty.

