Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-46540
Średnie

W wersjach przed 1.4.0 Nimiq, funkcja LightBlockchain::rebranch() nie aktualizuje poprawnie stanu makro i wyborczego po przyjęciu łańcucha fork, co prowadzi do problemów z weryfikacją bloków. To może spowodować zastoje w postępie łańcucha klienta lekkiego.

CVE-2026-46539
Średnie

W wersjach przed 1.4.0 Nimiq występuje błąd logiczny w funkcji BlockInclusionProof::is_block_proven, który pozwala na zaakceptowanie nagłówka MacroBlock jako 'udowodnionego' bez weryfikacji kryptograficznej. Problem ten występuje, gdy lista skoków jest pusta, co może być wykorzystane przez atakującego do sfałszowania dowodów włączenia transakcji.

CVE-2026-46411
Średnie

FlashMQ to broker/server MQTT, który przed wersją 1.26.2 pozwalał autoryzowanym klientom na przekroczenie dozwolonego limitu bufora zapisu, co prowadziło do wywołania wyjątku zabezpieczającego. Wyjątek ten nie był przechwytywalny, co skutkowało awarią serwera.

CVE-2026-44505
Średnie

W wersji przed 1.4.0 biblioteka network-libp2p w Nimiq nieprawidłowo obsługuje błędy weryfikacji rekordów DHT, co może prowadzić do zawieszenia przyszłych zapytań.

CVE-2026-41837
Średnie

Podatność w Spring Data REST pozwala atakującemu na przekazywanie dowolnych ścieżek właściwości trwałych jako kluczy filtrów w parametrach żądania, bez uwzględniania konfiguracji Jacksona przed przekazaniem ich do Querydsl. Może to prowadzić do nieautoryzowanego dostępu do danych lub ich wycieku.

CVE-2026-41730
Średnie

Podatność w Spring Data REST powoduje serializację pełnego łańcucha wyjątków do odpowiedzi HTTP błędów, co może ujawnić wewnętrzne szczegóły warstwy trwałości klientom HTTP.

CVE-2026-41727
Średnie

Podatność w Spring Kafka dotyczy mechanizmu infrastruktury tematów ponownych prób (retry topic), który nie walidował dostatecznie wartości nagłówków kontrolowanych przez użytkownika. Producent mógł wysłać rekord z spreparowanym nagłówkiem retry_topic-attempts, zawierającym nieprawidłową liczbę prób, co powodowało błędne określenie pozycji wiadomości w sekwencji ponownych prób przez router tematów.

CVE-2026-41726
Średnie

Podatność w Spring for Apache Kafka umożliwia atakującemu producentowi nieograniczone zwiększanie użycia pamięci sterty konsumenta poprzez wysyłanie rekordów z unikalnymi wartościami nagłówka `spring.kafka.serialization.selector`, co prowadzi do przeciążenia garbage collectora i błędu OutOfMemoryError.

CVE-2026-41721
Średnie

Podatność w Spring Data Commons umożliwia atak DoS poprzez wysłanie spreparowanego żądania HTTP, gdy włączone jest Spring Data Web Support i kontroler używa @ProjectedPayload. Atak powoduje nadmierne przydzielenie pamięci, co prowadzi do wyczerpania zasobów.

CVE-2026-41719
Średnie

Podatność SpEL Injection w Spring Data KeyValue występuje, gdy niesanityzowane dane wejściowe użytkownika są przekazywane jako Sort do metody zapytania repozytorium, która deleguje ocenę do SpelPropertyComparator. Atakujący może wstrzyknąć złośliwe wyrażenie SpEL, co prowadzi do zdalnego wykonania kodu.

CVE-2026-41714
Średnie

Podatność w Spring AMQP powoduje, że aplikacje używające RabbitConnectionFactoryBean.setUri("amqps://...") bez wywołania setUseSSL(true) otrzymują szyfrowanie TLS bez walidacji certyfikatu i weryfikacji nazwy hosta.

CVE-2026-41711
Średnie

Aplikacje korzystające z Spring Data Commons mogą być podatne na atak typu Denial of Service (DoS) prowadzący do wyjątku StackOverflowException podczas parsowania parametrów Sort.

CVE-2026-41706
Średnie

Podatność w Spring Security dotyczy mechanizmów CookieRequestCache i CookieServerRequestCache, które przechowują pełny absolutny URL żądania przed uwierzytelnieniem w ciasteczku przeglądarki. Po pomyślnym logowaniu użytkownik jest przekierowywany na ten URL bez żadnej walidacji, co umożliwia atakującemu manipulację celem przekierowania.

CVE-2026-41701
Średnie

Identyfikatory korelacji dla odpowiedzi w RabbitTemplate.sendAndReceive() z naprawioną kolejką odpowiedzi są przewidywalne z powodu wewnętrznego prostego licznika.

CVE-2026-41697
Średnie

Podatność w Spring Data Relational polega na nieprawidłowym kodowaniu wartości wiążących dla zewnętrznie kontrolowanych danych wejściowych podczas używania StringMatcher (STARTING, ENDING lub CONTAINING) w Query By Example (QBE). Atakujący może dostarczyć znaki wieloznaczne, aby przeprowadzić ślepe wnioskowanie danych w oparciu o boolean.

CVE-2026-41696
Średnie

W metodach zapytań repozytoriów Spring Data MongoDB oznaczonych adnotacją @Query, które używają wiązania parametrów regex, występuje niewystarczająca walidacja powiązanego parametru. Atakujący może dostarczyć spreparowany ciąg, aby wydostać się z zamierzonego cytowania wyrażenia regularnego.

CVE-2026-41008
Średnie

Podatność w Spring Security Authorization Server wynika z niewystarczającej walidacji parametru request_uri w punkcie końcowym autoryzacji. Atakujący może wysłać złośliwe żądanie autoryzacyjne z nieprawidłowym request_uri i dowolnym, niezweryfikowanym redirect_uri, co prowadzi do podatności na otwarte przekierowanie (Open Redirect).

CVE-2026-40991
Średnie

Podatność w Spring REST Docs umożliwia atak XXE (XML External Entity) podczas dokumentowania zdalnego API przez HTTP. Atakujący może skompromitować API lub nakłonić użytkownika do dokumentowania złośliwego API, co prowadzi do wykonania ataku przy następnym uruchomieniu testów generujących dokumentację.

CVE-2026-9754
Średnie

Użytkownik z rolą odczytu może uzyskać dostęp do ograniczonej ilości niezainicjowanej pamięci stosu poprzez specjalnie przygotowane wywołania polecenia filemd5.

CVE-2026-9752
Średnie

Użytkownik z uprawnieniami może spowodować awarię serwera, wykonując zapytanie z indeksem 2dsphere na polu przechowującym kolekcję geometrii GeoJSON zawierającą wielokąt z ściśle nawiniętą CRS.

PoprzedniaStrona 136 z 552Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS