Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-11806
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.6 zawiera podatność umożliwiającą odczyt dowolnych plików, gdy włączona jest funkcja restConnector-2.0.

CVE-2026-11714
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w przypadku włączenia funkcji apiDiscovery-1.0. Atakujący może wykorzystać tę lukę do wysyłania nieautoryzowanych żądań z serwera do wewnętrznych zasobów sieciowych.

CVE-2026-11712
Krytyczne

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w systemie pomocy konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.

CVE-2026-11708
Krytyczne

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w zintegrowanym systemie pomocy konsoli administracyjnej. Umożliwia to atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.

CVE-2026-11595
Średnie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność, która może umożliwić zdalnemu atakującemu uzyskanie wrażliwych informacji ze zintegrowanego systemu pomocy konsoli administracyjnej.

CVE-2026-11546
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 z włączoną funkcją adminCenter-1.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF).

CVE-2026-10564
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Komponenty RSSReaderComponent i SearXNG wykonują niezweryfikowane żądania HTTP do adresów URL kontrolowanych przez użytkownika, omijając zabezpieczenia SSRF wprowadzone w wersji 1.9.3.

CVE-2026-10560
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera brak uwierzytelniania w endpointach /api/v1/build_public_tmp/, co pozwala nieuwierzytelnionemu atakującemu na odczyt danych zdarzeń budowania lub anulowanie zadań przy użyciu prawidłowego identyfikatora zadania, prowadząc do ujawnienia informacji i odmowy usługi.

CVE-2026-10546
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie URL, spowodowaną warunkiem wyścigu TOCTOU, który może być wykorzystany przez ponowne wiązanie DNS.

CVE-2026-10140
Krytyczne

IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.

CVE-2026-10134
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera krytyczną podatność, która pozwala atakującemu na odczyt wszystkich sekretów dostępnych dla procesu Langflow, odczyt i modyfikację wszystkich przepływów, konwersacji, wiadomości, przesłanych plików oraz zapisanych komponentów w bazie danych Langflow. Atakujący może również łączyć się z wewnętrznymi usługami, nadużywać punktów końcowych metadanych chmury, przemieszczać się lateralnie do innych dzierżawców w tej samej instancji Langflow oraz utrwalić dostęp poprzez modyfikację `tool_code` publicznego przepływu, co powoduje ponowne wykonanie kodu atakującego przy każdym wywołaniu `/api/v1/build/...` przez dowolnego użytkownika.

CVE-2026-10129
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na obejście ochrony przed fałszowaniem żądań po stronie serwera (SSRF) w komponencie API Request. Uwierzytelniony atakujący z niskimi uprawnieniami (rola autora przepływu) może ominąć zabezpieczenia SSRF, włączając parametr follow_redirects i podając publiczny URL przekierowujący na adresy wewnętrzne/localhost. Podatność wynika z faktu, że aplikacja weryfikuje tylko początkowy URL, ale nie ponownie weryfikuje miejsc docelowych przekierowań.

CVE-2026-10109
KrytyczneEPSS 54%

IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowej obsługi uzgadniania DRDA przed uwierzytelnieniem.

CVE-2025-36372
Średnie

Podatność w IBM Db2 umożliwia uwierzytelnionemu użytkownikowi odczyt wrażliwych informacji z tabel monitorowania i zdarzeń. Dotyczy wersji 11.5.0-11.5.9 oraz 12.1.0-12.1.4 na systemach Linux, UNIX i Windows.

CVE-2026-58138
KrytyczneEPSS 56%

Orkes Conductor w wersjach od 3.21.21 do 3.30.2 zawiera nieuwierzytelnioną podatność na zdalne wykonanie kodu. Atakujący może wysłać złośliwą definicję przepływu pracy z wyrażeniami JavaScript lub Python do interfejsu API przed uwierzytelnieniem, co pozwala na wykonanie dowolnych poleceń systemowych.

CVE-2026-10513
Wysokie

Wtyczka Webmention dla WordPressa do wersji 5.8.0 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez metadane autora 'avatar' i 'url' pochodzące z parsera. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla właściwości MF2 autora, które są przetwarzane przez niezautoryzowany endpoint REST Webmention i renderowane bezpośrednio w atrybutach 'value' HTML w szablonie edycji komentarza.

CVE-2026-9263
Średnie

W warstwie adaptacyjnej ISO kontrolera Bluetooth Zephyr (isoal.c) brakuje walidacji długości segmentu startowego ramki PDU ISO. Atakujący przez Bluetooth może wysłać spreparowany pakiet, powodując niedomiar liczby całkowitej i odczyt poza zakresem bufora.

CVE-2026-8864
Wysokie

Aplikacja HP Fan Control może umożliwiać lokalną eskalację uprawnień. Luka wynika z nieprawidłowej kontroli dostępu w oprogramowaniu do zarządzania wentylatorami firmy HP.

CVE-2026-58377
Wysokie

Podatność w JeecgBoot do wersji 3.9.2 umożliwia uwierzytelnionym użytkownikom o niskich uprawnieniach pełny dostęp do zarządzania poświadczeniami OpenAPI. Brak autoryzacji Shiro w kontrolerach OpenApiAuthController i OpenApiPermissionController pozwala na tworzenie, odczyt, aktualizację i usuwanie wszystkich par AK/SK, a endpoint listy zwraca sekretne klucze w postaci jawnego tekstu.

CVE-2026-58376
Wysokie

W Dolibarr do wersji 23.0.3 (załatanym w commicie 14db36e) wykryto podatność na iniekcję SQL. Uwierzytelnieni użytkownicy API mogą wyodrębnić dowolne dane z bazy, podając złośliwe wartości w parametrze sqlfilters w endpointach REST API dla słowników i walut wielowalutowych.

PoprzedniaStrona 121 z 4552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS