Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-11942
Średnie

Akaunting 3.1.21 zawiera podatność na uwierzytelnione, przechowywane ataki typu cross-site scripting w procesie potwierdzania usunięcia. Użytkownik z uprawnieniami do tworzenia lub modyfikowania rekordów, takich jak przedmioty, może przechowywać HTML/JavaScript w nazwie rekordu.

CVE-2026-11372
Średnie

IBM TRIRIGA Application Platform w wersjach od 5.0.2 do 5.0.3 jest podatna na atak typu cross-site scripting (XSS). Uwierzytelniony użytkownik może osadzić dowolny kod JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2024-51454
Średnie

IBM Engineering Workflow Management w wersjach 7.0.2 do 7.0.2 Interim Fix 035, 7.0.3 do 7.0.3 Interim Fix 017 oraz 7.1 do 7.1 Interim Fix 004 jest podatny na wstrzykiwanie nagłówków HTTP z powodu nieprawidłowej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zatruwanie pamięci podręcznej lub przejęcie sesji.

CVE-2023-33854
Średnie

Podatność w IBM Db2 na Cloud Pak for Data oraz Db2 Warehouse na Cloud Pak for Data w wersjach 4.8, 5.0, 5.1, 5.2 i 5.3 umożliwia uwierzytelnionemu użytkownikowi ominięcie walidacji po stronie klienta i manipulację danymi wejściowymi przy użyciu technik man-in-the-middle.

CVE-2026-9162
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie unieważniają pamięci podręcznej stanu uwierzytelnienia dla aktywnych połączeń WebSocket podczas globalnej revokacji sesji. Umożliwia to użytkownikowi z istniejącym połączeniem WebSocket pozostanie uwierzytelnionym i kontynuowanie odbierania zdarzeń w czasie rzeczywistym, aż do wygaśnięcia pamięci podręcznej sesji lub ponownego połączenia klienta.

CVE-2026-7167
Średnie

Podatność występuje, gdy system nieprawidłowo weryfikuje pole 'email' podczas procesu uwierzytelniania, co pozwala na akceptację niezweryfikowanych lub fałszywych adresów e-mail. To umożliwia tworzenie kont użytkowników z fałszywymi adresami e-mail, co sprzyja masowemu tworzeniu oszukańczych kont.

CVE-2026-6673
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie autoryzują zainstalowanych callbacków Atlassian Connect, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wstrzyknięcie fałszywego sharedSecret i zakłócenie integracji z Jira.

CVE-2026-6062
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie weryfikują własności kanału istniejącej subskrypcji przed zastosowaniem edycji. To pozwala uwierzytelnionemu atakującemu na przejęcie subskrypcji z kanałów, do których nie ma dostępu, za pomocą spreparowanego żądania PUT do punktu końcowego edycji subskrypcji.

CVE-2026-5139
Średnie

Wersje Mattermost 11.7.x do 11.7.0, 11.6.x do 11.6.2, 11.5.x do 11.5.5 oraz 10.11.x do 10.11.17 nie egzekwują autoryzacji administratora w wywołaniu {{setDefaultInstance}} w obsłudze komendy {{/gitlab connect}}, co pozwala każdemu uwierzytelnionemu użytkownikowi na nadpisanie globalnej konfiguracji domyślnej instancji GitLab za pomocą komendy {{/gitlab connect <nazwa-instancji>}}.

CVE-2026-56450
Średnie

AIL nie ograniczał powtarzających się nieudanych prób weryfikacji kodu uwierzytelniania dwuskładnikowego (OTP). Atakujący, który dotarł do etapu weryfikacji 2FA, mógł zgłaszać nieograniczoną liczbę prób odgadnięcia kodu OTP, co mogło prowadzić do nieautoryzowanego dostępu do konta.

CVE-2026-10601
Średnie

Wtyczki źródeł danych Tempo i Loki w Grafanie konstruują zapytania HTTP przez interpolację danych wejściowych użytkownika do ścieżek URL bez sanityzacji, co umożliwia atak typu path traversal. Użytkownik z rolą Viewer może przechwycić skonfigurowane przez administratora poświadczenia źródła danych (niestandardowe nagłówki secureJsonData) poprzez przekierowanie do kontrolowanego przez atakującego punktu końcowego, wywoływać zmieniające stan punkty końcowe administratora w Tempo (np. /flush, /shutdown) oraz eksfiltrować dane wewnętrznych usług przez Loki's CallResource, który zwraca pełne treści odpowiedzi HTTP.

CVE-2025-33128
Średnie

Podatność XSS w IBM Engineering Workflow Management pozwala uwierzytelnionemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2025-2669
Średnie

Podatność w IBM Db2 na Cloud Pak for Data i Db2 Warehouse na Cloud Pak for Data w wersjach 4.8, 5.0, 5.1, 5.2, 5.3 umożliwia uprzywilejowanemu użytkownikowi wykonywanie operacji i uzyskiwanie poufnych informacji poza zakresem jego uprawnień z powodu nieprawidłowej walidacji tokenów.

CVE-2024-54178
Średnie

Podatność w IBM Db2 na Cloud Pak for Data i Db2 Warehouse na Cloud Pak for Data w wersjach 4.8, 5.0, 5.1, 5.2, 5.3 umożliwia uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi podczas tworzenia nowych baz danych z powodu nieprawidłowej alokacji zasobów.

CVE-2026-12863
Średnie

W funkcjonalności logowania społecznościowego Venueless występuje niezweryfikowane przekierowanie, które może być wykorzystane do phishingu przy użyciu zaufanych domen.

CVE-2026-12862
Średnie

Nieufne dane użytkownika były przekazywane bezpośrednio do eksportów Excela dla administratorów. Umożliwiło to wstrzykiwanie formuł, co może prowadzić do kompromitacji środowiska użytkownika otwierającego plik lub innych danych w pliku.

CVE-2026-12580
Średnie

EasyFlow .NET opracowany przez Digiwin ma podatność na przechowywane Cross-Site Scripting, która pozwala uwierzytelnionym zdalnym atakującym na wstrzykiwanie trwałego kodu JavaScript, wykonywanego w przeglądarkach użytkowników po załadowaniu strony.

CVE-2026-54665
Średnie

Apache NiFi w wersjach od 0.0.1 do 2.9.0 nie weryfikuje wartości nagłówków Proxy i Forwarded, co pozwala na budowanie nieprawidłowych URL-i. Wersja 1.6.0 wprowadziła możliwość ograniczenia wartości w nagłówku Host, ale nie zastosowano tego do alternatywnych nagłówków.

CVE-2026-44911
Średnie

W Apache NiFi w wersjach od 1.15.0 do 2.9.0, obsługa autoryzacji dla żądań weryfikacji konfiguracji komponentów pozwala klientom z dostępem do odczytu na przesyłanie proponowanych właściwości konfiguracyjnych. Te właściwości mogą nadpisywać aktualną konfigurację, co umożliwia użytkownikom z dostępem do odczytu wywoływanie zdefiniowanych metod weryfikacji z alternatywnymi ustawieniami.

CVE-2025-62198
Średnie

Użytkownik z autoryzacją może przeprowadzić atak XSS. Problem dotyczy wersji Apache Atlas 2.4.0 i wcześniejszych.

PoprzedniaStrona 77 z 534Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS