Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.01)

CVE-2026-9002
Średnie

IBM WebSphere Extreme Scale w wersjach 8.6.1.0 do 8.6.1.6 zawiera podatność na atak DoS spowodowaną nieprawidłową walidacją w dekoderze XDF. Aplikacja przetwarza głęboko zagnieżdżone wiadomości Protocol Buffers oraz prefiksy długości kontrolowane przez atakującego bez wystarczającego sprawdzania granic, co może prowadzić do przepełnienia stosu lub pamięci.

CVE-2026-3602
Średnie

IBM App Connect Enterprise w wersjach 13.0.1.0–13.0.7.2 oraz 12.0.1.0–12.0.12.26, a także IBM Integration Bus for z/OS 10.1.0.0–10.1.0.7, zawiera podatność na wstrzykiwanie SQL. Zdalny atakujący może poprzez socjotechnikę nakłonić użytkownika do przypadkowego utworzenia plików, o których ten może nie wiedzieć.

CVE-2026-13773
ŚrednieEPSS 87%

IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera około 50 wygenerowanych klas stubów CORBA w pliku ogclient.jar, które podczas deserializacji Java wywołują ORB.string_to_object() na kontrolowanym przez atakującego ciągu IOR. To przekształca każdy niefiltrowany strumień ObjectInputStream w aplikacji WAS w wychodzące IIOP SSRF do wybranego przez atakującego hosta.

CVE-2026-12086
Średnie

IBM UrbanCode Deploy i IBM DevOps Deploy przechowują potencjalnie wrażliwe informacje w plikach dziennika, które mogą być odczytane przez lokalnego użytkownika. Podatność dotyczy wersji 7.2 do 7.2.3.23, 7.3 do 7.3.2.18 oraz 8.0 do 8.0.1.13, 8.1 do 8.1.2.6 i 8.2 do 8.2.1.0.

CVE-2026-12085
Średnie

IBM UrbanCode Deploy i IBM DevOps Deploy w podatnych wersjach mogą ujawniać wrażliwe konfiguracje i sekrety uwierzytelnionym użytkownikom w odpowiedziach API, co może być wykorzystane w dalszych atakach na system.

CVE-2026-12084
Średnie

IBM DevOps Deploy (UCD) w wersjach 8.1 do 8.1.2.6 oraz 8.2 do 8.2.1.0 nieprawidłowo konfiguruje mechanizm CORS, co pozwala atakującemu na wykonywanie uprzywilejowanych działań i odczyt wrażliwych informacji, ponieważ domena nie jest ograniczona do zaufanych domen.

CVE-2026-11906
Średnie

IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 dla systemów Linux, UNIX i Windows (w tym Db2 Connect Server) zawiera podatność na atak DoS. Uwierzytelniony użytkownik może wykorzystać nieprawidłową neutralizację specjalnych elementów w logice zapytań danych dla kolumn pochodzących z XMLTable, powodując odmowę usługi.

CVE-2026-11595
Średnie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność, która może umożliwić zdalnemu atakującemu uzyskanie wrażliwych informacji ze zintegrowanego systemu pomocy konsoli administracyjnej.

CVE-2025-36372
Średnie

Podatność w IBM Db2 umożliwia uwierzytelnionemu użytkownikowi odczyt wrażliwych informacji z tabel monitorowania i zdarzeń. Dotyczy wersji 11.5.0-11.5.9 oraz 12.1.0-12.1.4 na systemach Linux, UNIX i Windows.

CVE-2026-9263
Średnie

Podatność w warstwie adaptacyjnej ISO stosu Bluetooth Zephyra (isoal.c) nie sprawdza poprawności długości segmentu startowego ramki PDU ISO. Atakujący przez radio może wysłać spreparowany segment, powodując niedomiar liczby całkowitej i odczyt poza zakresem bufora.

CVE-2026-58373
Średnie

Podatność w CVAT przed wersją 2.69.0 w klasie QualityReportViewSet.get_queryset umożliwia uwierzytelnionym atakującym enumerację identyfikatorów raportów jakości należących do innych organizacji. Brak wywołania check_object_permissions na parametrze parent_id w API raportów jakości pozwala na rozróżnienie istniejących i nieistniejących raportów poprzez odpowiedzi HTTP 500 i 404.

CVE-2026-58369
Średnie

Woodpecker przed wersją 3.15.0 udostępnia endpoint /api/orgs/lookup/*org_full_name bez uwierzytelniania, a procedura obsługi wywołuje pusty wskaźnik (NULL pointer dereference) dla nieuwierzytelnionych żądań. Każde takie żądanie powoduje panic, który jest przechwytywany przez middleware gin, ale generuje wieloliniowy stack trace w logach błędów.

CVE-2026-58176
Średnie

W systemie RuoYi-Vue-Plus do wersji 5.6.2 (poprawione w commicie 88d03d9) endpointy zarządzania zadaniami przepływu pracy w kontrolerze FlwTaskController nie mają żadnej kontroli uprawnień. Każdy uwierzytelniony użytkownik, niezależnie od przypisanej roli, może zmieniać przypisanie zadań, przyspieszać je oraz przeglądać wszystkie oczekujące i zakończone zadania.

CVE-2026-58174
Średnie

Podatność w Hermes WebUI przed wersją 0.51.521 pozwala na ominięcie izolacji profili. Podczas importowania sesji weryfikowany jest obszar roboczy aktywnego profilu, ale obiekt sesji jest tworzony bez ustawienia profilu, co skutkuje zapisaniem sesji z pustym profilem. Pusty profil jest traktowany jako domyślny, co umożliwia użytkownikowi na profilu domyślnym wyeksportowanie transkryptu sesji i odczytanie plików z obszaru roboczego nazwanego profilu.

CVE-2026-58173
Średnie

Podatność typu path traversal w Vibe-Trading przed wersją 0.1.10 pozwala atakującym na zapisywanie plików poza zamierzonym katalogiem głównym pamięci poprzez dostarczenie złośliwej wartości memory_type zawierającej sekwencje nawigacji po ścieżkach. Atakujący mogą manipulować parametrem memory_type w trwałym magazynie pamięci, co powoduje zapis dowolnych plików Markdown w nieprzeznaczonych lokalizacjach w systemie plików.

CVE-2026-58171
Średnie

Podatność w Vibe-Trading przed wersją 0.1.10 pozwala na odczyt i nadpisanie plików run.json poza katalogiem runs. Atakujący może wykorzystać spreparowany identyfikator uruchomienia przekazany przez narzędzia MCP swarm, co prowadzi do naruszenia poufności i integralności danych.

CVE-2026-58167
Średnie

Podatność w Nightingale (n9e) przed wersją 9.0.0-beta.2 umożliwia każdemu uwierzytelnionemu użytkownikowi z niskimi uprawnieniami (rola Standard) odczyt pełnych konfiguracji źródeł danych, w tym haseł baz danych, tokenów HTTP Bearer, haseł HTTP Basic Auth oraz kluczy klienckich mTLS. Dzieje się tak przez endpoint POST /api/n9e/datasource/list, który nie wymaga autoryzacji administratora, a filtr DatasourceFilter nie usuwa pól zawierających sekrety.

CVE-2026-10655
Średnie

W Zephyr OS wykryto podatność polegającą na wyścigu (race condition) w asynchronicznym kliencie SNTP. Gdy klient zamyka gniazdo UDP bez synchronizacji z wątkiem obsługi gniazd, może dojść do użycia po zwolnieniu (use-after-free) struktury net_context, co prowadzi do awarii lub potencjalnego uszkodzenia pamięci.

CVE-2026-10653
Średnie

Podatność w bibliotece net_buf systemu Zephyr dotyczy nieatomowych operacji na licznikach referencji buforów. W warunkach współbieżności (SMP lub wywłaszczanie jednego rdzenia) może dojść do podwójnego zwolnienia pamięci (double-free) lub uszkodzenia listy wolnych buforów.

CVE-2026-10652
Średnie

W Zephyr OS wykryto podatność w resolverze DNS (subsys/net/lib/dns), która pozwala na odczyt poza zakresem bufora. Funkcja dns_unpack_answer() nie sprawdza poprawności deklarowanej długości danych (rdlength) w odpowiedziach DNS, co umożliwia atakującemu wstrzyknięcie spreparowanej odpowiedzi z rekordami TXT lub SRV. Skutkuje to wyciekiem informacji z pamięci (resztki poprzednich pakietów lub niezainicjalizowana pamięć) do aplikacji, a w niektórych konfiguracjach może prowadzić do błędu i odmowy usługi.

PoprzedniaStrona 26 z 523Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS