Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-55602
Wysokie

Podatność w bibliotece http-proxy-middleware dla Node.js umożliwia atakującemu ominięcie konfiguracji routingu proxy poprzez spreparowanie nagłówka Host, który jest nadciągiem (superstring) dla skonfigurowanego klucza host+path. Problem występuje w wersjach od 0.16.0 do 2.0.10, 3.0.6 i 4.1.0, a został naprawiony w wersjach 2.0.10, 3.0.6 i 4.1.0.

CVE-2026-55388
Wysokie

W bibliotece piscina, przed wersjami 6.0.0-rc.2, 5.2.0 i 4.9.3, występowała podatność związana z odczytem opcji filename, co mogło prowadzić do wykonania złośliwego kodu w wątkach roboczych.

CVE-2026-54290
Wysokie

Hono to framework aplikacji webowej, który przed wersją 4.12.25 miał lukę w middleware CORS. Przy ustawieniu 'credentials: true' i braku wyraźnie określonego pochodzenia, middleware odzwierciedlało pochodzenie żądania, co pozwalało na wykonywanie uwierzytelnionych żądań międzydomenowych przez dowolne strony.

CVE-2026-54283
Wysokie

Podatność w frameworku Starlette od wersji 0.4.1 do 1.3.1 powoduje, że limity max_fields i max_part_size dla request.form() są stosowane tylko dla multipart/form-data, ale ignorowane dla application/x-www-form-urlencoded. Nieuwierzytelniony atakujący może wysłać ciało żądania z dowolnie dużą liczbą pól lub dowolnie dużym polem, omijając skonfigurowane ograniczenia.

CVE-2026-54280
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.1 zasoby ładunku (payload) nie są poprawnie zamykane, gdy klient rozłączy się w trakcie zapisu. Może to prowadzić do tymczasowego wyczerpania zasobów, takich jak otwarte pliki, do momentu ich zwolnienia przez garbage collector.

CVE-2026-54279
Wysokie

W bibliotece AIOHTTP w wersjach przed 3.14.1 występuje podatność polegająca na utracie statusu 'host-only' przez ciasteczka zapisane za pomocą CookieJar.save(), a następnie przywrócone za pomocą CookieJar.load().

CVE-2026-54278
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości dekompresji skompresowanego ciała żądania do pamięci w jednym fragmencie podczas procesu czyszczenia. Atakujący może wysłać specjalnie spreparowany skompresowany ładunek, który po dekompresji może doprowadzić do przeciążenia serwera (przypadek brzegowy bomby zip).

CVE-2026-54277
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność umożliwiającą ominięcie ograniczenia długości linii w żądaniach HTTP podczas korzystania z optymalizowanego parsera C. Atakujący może wysłać nadmiernie długie linie, co prowadzi do nadmiernego zużycia pamięci i potencjalnie do ataku typu DoS.

CVE-2026-54275
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność polegającą na możliwości ominięcia sprawdzenia TLS SNI dla parametru server_hostname podczas ponownego użycia istniejącego połączenia. Jeśli aplikacja wykonuje wiele żądań do tej samej domeny, ale z różnymi wartościami server_hostname, późniejsze wywołania mogą nieprawidłowo wykorzystać wcześniejsze połączenie, zamiast zostać odrzucone.

CVE-2026-54274
Wysokie

Podatność w frameworku AIOHTTP przed wersją 3.14.1 umożliwia atakującemu ominięcie limitów pamięci poprzez wysyłanie dużych, niekompletnych ramek WebSocket. Może to prowadzić do nadmiernego zużycia pamięci i potencjalnego wyczerpania zasobów serwera.

CVE-2026-54273
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.1 nie było limitu liczby żądań potokowych (pipelined), które mogły być kolejkowane. Atakujący może wykorzystać to do przeciążenia pamięci, co może prowadzić do ataku typu DoS.

CVE-2026-54271
Wysokie

W protobufjs-cli, przed wersjami 1.3.2 i 2.5.0, występowała niekompletna poprawka dotycząca niebezpiecznego przetwarzania nazw w generowaniu kodu statycznego. Affected versions mogły emitować niebezpieczne odniesienia JavaScript podczas generowania statycznego wyjścia z przygotowanego wejścia JSON.

CVE-2026-53571
Wysokie

Vite to framework narzędziowy dla JavaScript, który przed wersjami 8.0.16, 7.3.5 i 6.4.3 mógł zwracać zawartość plików określonych przez server.fs.deny do przeglądarki na systemie Windows. Problemy z normalizacją ścieżek NTFS ADS pozwalały na nieautoryzowany dostęp do wrażliwych plików.

CVE-2026-53539
Wysokie

Podatność w bibliotece Python-Multipart przed wersją 0.0.30 powoduje kwadratową złożoność obliczeniową podczas parsowania treści typu application/x-www-form-urlencoded z separatorem średnika. Atakujący może wysłać małe, spreparowane żądanie zawierające wiele pól oddzielonych średnikami, co prowadzi do znacznego obciążenia procesora i potencjalnego wyczerpania zasobów.

CVE-2026-50269
Wysokie

W bibliotece AIOHTTP przed wersją 3.14.0 wykryto podatność polegającą na możliwości wstrzykiwania nagłówków HTTP przez kontrolowane przez atakującego dane wejściowe umieszczane w nagłówkach multipart/payload. W sytuacji, gdy aplikacja przekazuje dane od użytkownika do parametrów `headers` w `MultipartWriter.append()` lub `Payload.headers`, atakujący może zmodyfikować żądanie, dodając własne nagłówki lub zmieniając jego treść.

CVE-2026-50170
Wysokie

W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w współdzielonym stanie TransferState. Może to prowadzić do wycieku danych między użytkownikami przez warstwy buforujące, takie jak CDN czy proxy.

CVE-2026-50168
Wysokie

Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań z serwera do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co pozwala na atak SSRF.

CVE-2026-48712
Wysokie

Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.

CVE-2026-42127
Wysokie

Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.

CVE-2026-9072
Wysokie

IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty są podatne na zdalne wykonanie kodu oraz odmowę usługi, gdy używają Intelligent Management z komponentem WebSphere WebServer Plug-in. Atakujący może wykorzystać tę podatność, podszywając się pod serwery zaplecza i wysyłając spreparowane odpowiedzi do wtyczki.

PoprzedniaStrona 72 z 3330Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS