Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-12086
Średnie

IBM UrbanCode Deploy i IBM DevOps Deploy przechowują potencjalnie wrażliwe informacje w plikach dziennika, które mogą być odczytane przez lokalnego użytkownika. Podatność dotyczy wersji 7.2 do 7.2.3.23, 7.3 do 7.3.2.18 oraz 8.0 do 8.0.1.13, 8.1 do 8.1.2.6 i 8.2 do 8.2.1.0.

CVE-2026-12085
Średnie

IBM UrbanCode Deploy i IBM DevOps Deploy w podatnych wersjach mogą ujawniać wrażliwe konfiguracje i sekrety uwierzytelnionym użytkownikom w odpowiedziach API, co może być wykorzystane w dalszych atakach na system.

CVE-2026-12084
Średnie

IBM DevOps Deploy (UCD) w wersjach 8.1 do 8.1.2.6 oraz 8.2 do 8.2.1.0 nieprawidłowo konfiguruje mechanizm CORS, co pozwala atakującemu na wykonywanie uprzywilejowanych działań i odczyt wrażliwych informacji, ponieważ domena nie jest ograniczona do zaufanych domen.

CVE-2026-11906
Średnie

IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 dla systemów Linux, UNIX i Windows (w tym Db2 Connect Server) zawiera podatność na atak DoS. Uwierzytelniony użytkownik może wykorzystać nieprawidłową neutralizację specjalnych elementów w logice zapytań danych dla kolumn pochodzących z XMLTable, powodując odmowę usługi.

CVE-2026-11806
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.6 zawiera podatność umożliwiającą odczyt dowolnych plików, gdy włączona jest funkcja restConnector-2.0.

CVE-2026-11714
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w przypadku włączenia funkcji apiDiscovery-1.0. Atakujący może wykorzystać tę lukę do wysyłania nieautoryzowanych żądań z serwera do wewnętrznych zasobów sieciowych.

CVE-2026-11712
Krytyczne

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w systemie pomocy konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.

CVE-2026-11708
Krytyczne

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w zintegrowanym systemie pomocy konsoli administracyjnej. Umożliwia to atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.

CVE-2026-11595
Średnie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność, która może umożliwić zdalnemu atakującemu uzyskanie wrażliwych informacji ze zintegrowanego systemu pomocy konsoli administracyjnej.

CVE-2026-11546
Wysokie

IBM WebSphere Application Server Liberty w wersjach od 17.0.0.3 do 26.0.0.7 z włączoną funkcją adminCenter-1.0 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF).

CVE-2026-10564
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF). Komponenty RSSReaderComponent i SearXNG wykonują niezweryfikowane żądania HTTP do adresów URL kontrolowanych przez użytkownika, omijając zabezpieczenia SSRF wprowadzone w wersji 1.9.3.

CVE-2026-10560
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera brak uwierzytelniania w endpointach /api/v1/build_public_tmp/, co pozwala nieuwierzytelnionemu atakującemu na odczyt danych zdarzeń budowania lub anulowanie zadań przy użyciu prawidłowego identyfikatora zadania, prowadząc do ujawnienia informacji i odmowy usługi.

CVE-2026-10546
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na fałszowanie żądań po stronie serwera (SSRF) w komponencie URL, spowodowaną warunkiem wyścigu TOCTOU, który może być wykorzystany przez ponowne wiązanie DNS.

CVE-2026-10140
Krytyczne

IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.

CVE-2026-10134
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera krytyczną podatność, która pozwala atakującemu na odczyt wszystkich sekretów dostępnych dla procesu Langflow, odczyt i modyfikację wszystkich przepływów, konwersacji, wiadomości, przesłanych plików oraz zapisanych komponentów w bazie danych Langflow. Atakujący może również łączyć się z wewnętrznymi usługami, nadużywać punktów końcowych metadanych chmury, przemieszczać się lateralnie do innych dzierżawców w tej samej instancji Langflow oraz utrwalić dostęp poprzez modyfikację `tool_code` publicznego przepływu, co powoduje ponowne wykonanie kodu atakującego przy każdym wywołaniu `/api/v1/build/...` przez dowolnego użytkownika.

CVE-2026-10129
Wysokie

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera podatność na obejście ochrony przed fałszowaniem żądań po stronie serwera (SSRF) w komponencie API Request. Uwierzytelniony atakujący z niskimi uprawnieniami (rola autora przepływu) może ominąć zabezpieczenia SSRF, włączając parametr follow_redirects i podając publiczny URL przekierowujący na adresy wewnętrzne/localhost. Podatność wynika z faktu, że aplikacja weryfikuje tylko początkowy URL, ale nie ponownie weryfikuje miejsc docelowych przekierowań.

CVE-2026-10109
KrytyczneEPSS 54%

IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowej obsługi uzgadniania DRDA przed uwierzytelnieniem.

CVE-2025-36372
Średnie

Podatność w IBM Db2 umożliwia uwierzytelnionemu użytkownikowi odczyt wrażliwych informacji z tabel monitorowania i zdarzeń. Dotyczy wersji 11.5.0-11.5.9 oraz 12.1.0-12.1.4 na systemach Linux, UNIX i Windows.

CVE-2026-58138
KrytyczneEPSS 56%

Orkes Conductor w wersjach od 3.21.21 do 3.30.2 zawiera nieuwierzytelnioną podatność na zdalne wykonanie kodu. Atakujący może wysłać złośliwą definicję przepływu pracy z wyrażeniami JavaScript lub Python do interfejsu API przed uwierzytelnieniem, co pozwala na wykonanie dowolnych poleceń systemowych.

CVE-2026-10513
Wysokie

Wtyczka Webmention dla WordPressa do wersji 5.8.0 włącznie jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez metadane autora 'avatar' i 'url' pochodzące z parsera. Podatność wynika z niedostatecznego oczyszczania danych wejściowych i braku odpowiedniego kodowania wyjścia dla właściwości MF2 autora, które są przetwarzane przez niezautoryzowany endpoint REST Webmention i renderowane bezpośrednio w atrybutach 'value' HTML w szablonie edycji komentarza.

PoprzedniaStrona 131 z 4563Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS