Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.16)
W GitHub Enterprise Server wykryto brak autoryzacji w punkcie końcowym podsumowania różnic opisu pull requesta Copilota. Uwierzytelniony użytkownik mógł odczytać kod źródłowy z prywatnych repozytoriów, do których nie miał dostępu, poprzez podanie zakresu porównania między repozytoriami. Luka dotyczy wszystkich wersji przed 3.21 i została naprawiona w wersjach 3.17.17, 3.18.11, 3.19.8 oraz 3.20.4.
Podatność w GitHub Enterprise Server umożliwiała aplikacji OAuth uzyskanie nieautoryzowanego dostępu do zarządzania runnerami organizacji. Problem wynikał z braku wyświetlania zakresu manage_runners:org na ekranie zgody autoryzacji, co mogło zostać wykorzystane przez atakującego do skłonienia użytkownika do autoryzacji złośliwej aplikacji.
Podatność umożliwia nieuwierzytelnionemu atakującemu spowodowanie awarii serwera listy zadań poprzez wysłanie pojedynczego spreparowanego zapytania. Warunkiem jest istnienie poprawnego tytułu AE wywołanego, katalogu przechowywania, oczekiwanego pliku blokady oraz co najmniej jednego pasującego rekordu listy zadań.
FUXA w wersjach 1.3.1 i wcześniejszych zawiera podatność na ominięcie uwierzytelniania poprzez normalizację ścieżek z segmentami kropkowymi w REST API. Router API nie normalizuje sekwencji segmentów kropek przed zastosowaniem middleware uwierzytelniającego, co pozwala nieuwierzytelnionym żądaniom na dostęp do chronionych punktów końcowych poprzez poprzedzenie ścieżek segmentami kropkowymi, takimi jak /api/./users, /api/./roles i /api/project/../users. Żądania te omijają kontrole uwierzytelniania i zwracają wrażliwe dane użytkowników i ról bez poświadczeń.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na atak typu cross-site scripting (XSS) w konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do interfejsu zarządzania serwerem.
W urządzeniu Archer AX20 V2 wykryto podatność na nieuwierzytelnione przekierowanie URL spowodowane nieprawidłową walidacją danych wejściowych URL w interfejsie webowym. Nieuwierzytelniony atakujący może tworzyć adresy URL zawierające zakodowane sekwencje przejścia ścieżki, co po przetworzeniu przez wbudowany serwer WWW może skutkować odpowiedziami HTTP 3xx przekierowującymi do zewnętrznych domen kontrolowanych przez atakującego.
Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszywanie się pod innego użytkownika systemu.
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 przesyła dane w postaci niezaszyfrowanego tekstu, co umożliwia atakującemu przechwycenie wrażliwych informacji za pomocą ataku typu man-in-the-middle.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wykonanie nieautoryzowanych działań z powodu nieprawidłowego egzekwowania przepływu pracy.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez szczegółowe komunikaty błędów zwracane w przeglądarce. Informacje te mogą zostać wykorzystane w dalszych atakach na system.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi ominięcie kontroli bezpieczeństwa i wykonanie nieautoryzowanych działań z powodu egzekwowania zabezpieczeń po stronie klienta zamiast serwera.
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na fałszerstwo żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może wysyłać nieautoryzowane żądania z systemu, co może prowadzić do skanowania sieci lub ułatwiać inne ataki.
Podatność XSS w IBM watsonx.data intelligence umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na wstrzykiwanie kodu HTML. Zdalny atakujący może wstrzyknąć złośliwy kod HTML, który po wyświetleniu zostanie wykonany w przeglądarce ofiary w kontekście bezpieczeństwa hostowanej witryny.
Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wywołanie tymczasowej odmowy usługi poprzez specjalnie spreparowane żądanie HTTP. Problem wynika z nieprawidłowego przydziału ograniczeń zasobów.
IBM watsonx.data intelligence w wersjach 5.2.2, 5.3.0, 5.3.1 oraz 5.3.1 do patch-1 przesyła dane w postaci niezaszyfrowanego tekstu. Umożliwia to atakującemu przechwycenie wrażliwych informacji za pomocą technik man-in-the-middle.
IBM InfoSphere Information Server w wersjach od 11.7.0.0 do 11.7.1.6 zawiera podatność na ujawnienie informacji. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych.
IBM WebSphere Extreme Scale w wersjach 8.6.1.0 do 8.6.1.6 zawiera podatność na atak DoS spowodowaną nieprawidłową walidacją w dekoderze XDF. Aplikacja przetwarza głęboko zagnieżdżone wiadomości Protocol Buffers oraz prefiksy długości kontrolowane przez atakującego bez wystarczającego sprawdzania granic, co może prowadzić do przepełnienia stosu lub pamięci.
IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.

