Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
Storage Concentrator (SC i SCVM) zawiera podatność na wstrzykiwanie poleceń w skrypcie debug.pl, dostępną bez uwierzytelnienia. Zdalny atakujący może wysłać specjalnie spreparowane żądanie HTTP z złośliwym ładunkiem, który jest przetwarzany bez odpowiedniej sanitacji wejścia, co prowadzi do wykonania dowolnego polecenia z uprawnieniami roota.
Podatność typu command injection w usłudze ms_service.pl Storage Concentrator (SC & SCVM) pozwala nieuwierzytelnionemu atakującemu na zdalne wykonanie dowolnych poleceń z uprawnieniami roota poprzez wysłanie spreparowanego pakietu sieciowego na domyślny port TCP 9000.
Flowise przed wersją 3.1.0 (dotknięte wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego sekretu ('flowise') dla middleware express-session, gdy zmienna środowiskowa EXPRESS_SESSION_SECRET nie jest ustawiona. Ponieważ ten domyślny sekret jest publicznie widoczny w kodzie źródłowym, atakujący może sfałszować ważne podpisane ciasteczka sesji, aby podszyć się pod dowolnego użytkownika i ominąć uwierzytelnianie.
Podatność SQL injection w Storage Concentrator (SC & SCVM) występuje przez wartości ciasteczek przetwarzane przez skrypty login.pl i debug.pl. Niezabezpieczone dane z ciasteczek są bezpośrednio włączane do zapytań do bazy danych, co pozwala nieuwierzytelnionemu atakującemu na manipulację zapytaniami i wyodrębnienie wrażliwych informacji, takich jak tokeny sesji, hashe haseł i tajne klucze.
Storage Concentrator (SC & SCVM) zawiera zakodowane na stałe poświadczenia dla wielu wewnętrznych usług, przechowywane w pliku konfiguracyjnym. Mimo że poświadczenia są zakodowane, kodowanie to można odwrócić do postaci jawnego tekstu.
Podatność w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy poprzez specjalnie spreparowaną stronę HTML. Problem wynika z odczytu i zapisu poza dozwolonym zakresem pamięci.
Podatność Use-After-Free w komponencie Chromoting w przeglądarce Google Chrome na systemie Linux przed wersją 150.0.7871.47 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez złośliwy ruch sieciowy. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność w DevTools w Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem wynika z nieprawidłowej implementacji w DevTools.
Podatność Use-After-Free w komponencie Updater przeglądarki Google Chrome na systemie Windows przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Niewystarczające egzekwowanie zasad w komponencie Mojo w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiało zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML.
W przeglądarce Google Chrome na Androidzie przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie Text. Umożliwiło to zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy (sandbox escape) za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 150.0.7871.47 stwierdzono niewystarczającą walidację niezaufanych danych wejściowych w komponencie WebAppInstalls. Luka umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w piaskownicy poprzez spreparowaną stronę HTML.
W przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 stwierdzono niewystarczające egzekwowanie zasad w mechanizmie Sandbox. Luka umożliwiała zdalnemu atakującemu, który wcześniej przejął proces renderowania, potencjalne opuszczenie piaskownicy za pomocą spreparowanej strony HTML.
Podatność w komponencie WebAppInstalls w przeglądarce Google Chrome na systemie Mac przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Podatność w przeglądarce Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającego egzekwowania zasad bezpieczeństwa. Zdalny atakujący, który wcześniej przejął proces renderowania, może potencjalnie opuścić sandbox za pomocą spreparowanej strony HTML.
Podatność Use-after-free w komponencie Cast przeglądarki Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.
Podatność w komponencie Media przeglądarki Google Chrome przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Zdalny atakujący, który przejął proces renderowania, może potencjalnie opuścić sandbox za pomocą spreparowanego pliku wideo.
Podatność w funkcji Device Trust w przeglądarce Google Chrome na systemie Windows przed wersją 150.0.7871.47 wynika z niewystarczającej walidacji niezaufanych danych wejściowych. Umożliwia ona zdalnemu atakującemu, który przejął proces renderowania, potencjalne opuszczenie piaskownicy za pomocą spreparowanej strony HTML.
Podatność Use-After-Free w komponencie ANGLE w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, potencjalną ucieczkę z piaskownicy poprzez spreparowaną stronę HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół bezpieczeństwa Chromium.
Podatność Use-After-Free w komponencie GetUserMedia w przeglądarce Google Chrome przed wersją 150.0.7871.47 umożliwiała zdalnemu atakującemu, który skompromitował proces renderowania, potencjalną ucieczkę z piaskownicy za pomocą spreparowanej strony HTML. Problem został sklasyfikowany jako niskiego ryzyka przez zespół Chromium.

