Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2025-36145
Średnie

IBM watsonx.data w wersjach od 2.2 do 2.3.1 nieprawidłowo ogranicza połączenia przychodzące i wychodzące, co może umożliwić atakującemu transfer lub modyfikację plików bez ograniczeń.

CVE-2025-36126
Średnie

IBM Cognos Analytics w wersjach 11.2.0, 12.0 i 12.1.0 oraz IBM Cognos Transformer w wersjach 12.0, 11.2.4 i 12.1.0 jest podatny na przechowywane ataki typu cross-site scripting (XSS) w administracji Cognos. Ta podatność pozwala uprzywilejowanemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2025-14290
Średnie

IBM webMethods Integration (on prem) w wersjach od 10.15 do IS_11.1_Core_Fix10 jest podatny na atak typu server-side request forgery (SSRF). Może to pozwolić uwierzytelnionemu atakującemu na wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.

CVE-2026-40564
Średnie

W Apache Flink Kubernetes Operator występuje podatność typu Server-Side Request Forgery (SSRF), która pozwala użytkownikom z uprawnieniami CR na dostęp do plików z systemu plików podu operatora oraz na pobieranie treści z dowolnych adresów dostępnych przez warstwę systemu plików Flinka. Brak walidacji URI w FlinkSessionJob umożliwia również dostęp do wewnętrznych adresów.

CVE-2026-5223
Średnie

Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.

CVE-2026-5222
Średnie

Cargo w wersjach od 1.68 do 1.96 niepoprawnie normalizowało adresy URL zewnętrznych rejestrów przy użyciu protokołu sparse index. Jeśli dostawca hostingu pozwalał na hostowanie wielu rejestrów z dowolnymi nazwami w tej samej domenie, atakujący mógł uzyskać dane uwierzytelniające innych użytkowników tego samego rejestru.

CVE-2026-9490
Średnie

Zidentyfikowano podatność w Acer Care Center, gdzie usługa ACCSvc tworzy Named Pipe z słabym opisem zabezpieczeń. Umożliwia to uwierzytelnionemu lokalnemu użytkownikowi połączenie się i wysłanie specjalnie przygotowanej wiadomości, co prowadzi do awarii usługi.

CVE-2026-4915
Średnie

Wersje Mattermost 11.6.x do 11.6.0, 11.5.x do 11.5.3, 11.4.x do 11.4.4 oraz 10.11.x do 10.11.14 nie filtrują elementów nil z ładunków załączników webhooków przed ich przetworzeniem. Umożliwia to uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi (zakończenie procesu serwera) poprzez spreparowaną odpowiedź callback webhooka zawierającą wpis załącznika null.

CVE-2026-41863
Średnie

Podatność w Spring AI związana z obsługą API Skills firmy Anthropic pozwala na wykorzystanie nazw plików, które nie są odpowiednio oczyszczone przed zapisaniem ich na dysku. Może to umożliwić złośliwemu użytkownikowi zapis plików poza zamierzonym katalogiem docelowym, w tym w katalogach z ograniczeniami.

CVE-2026-9416
Średnie

W systemie zarządzania pracownikami w wersji 1.0 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku /myprofile.php. Manipulacja argumentem ID prowadzi do ataku typu cross-site scripting (XSS).

CVE-2026-9358
Średnie

Wykryto podatność w postcss-selector-parser do wersji 6.1.2/7.1.2, dotycząca funkcji toString w pliku src/selectors/container.js. Manipulacja tą funkcją może prowadzić do niekontrolowanej rekurencji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-40864
Średnie

JupyterHub w wersjach od 4.1.0 do 5.4.4 ma problem z ochroną przed XSRF, który niewłaściwie traktuje żądania z nagłówkiem Sec-Fetch-Mode: no-cors jako żądania z tej samej domeny, co omija kontrole XSRF. Problem ten dotyczy tylko punktów końcowych formularzy HTTP, takich jak /hub/spawn i /hub/accept-share.

CVE-2026-40610
Średnie

BentoML to biblioteka Pythona do budowania systemów serwujących zoptymalizowanych dla aplikacji AI. W wersjach 1.4.38 i wcześniejszych, proces pakowania budowy może podążać za symlinkami kontrolowanymi przez atakującego, co pozwala na kopiowanie zawartości plików do generowanego artefaktu Bento, co stwarza ryzyko wycieku wrażliwych danych.

CVE-2026-36227
ŚrednieEPSS 54%

Podatność typu Directory Traversal w Easy Chat Server 3.1 umożliwia zdalnemu atakującemu odczyt wrażliwych danych oraz wykonanie dowolnego kodu poprzez parametr UserName.

CVE-2026-42506
Średnie

Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzony HTML przed renderowaniem.

CVE-2026-42502
Średnie

Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzany HTML przed renderowaniem.

CVE-2026-27136
Średnie

Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.

CVE-2026-25681
Średnie

Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.

CVE-2026-25680
Średnie

Analiza dowolnego HTML może powodować nadmierne zużycie czasu procesora, co może prowadzić do odmowy usługi.

CVE-2022-34363
Średnie

Dell Unisphere dla PowerMax w wersji przed 10.0.0.2 zawiera podatność na obejście autoryzacji w aplikacji Unisphere dla VMAX działającej w vApp.

PoprzedniaStrona 222 z 556Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS