Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-8934
Średnie

W podatności CVE-2026-8934 występuje brak autoryzacji w operacji prywatnego API GraphQL w sekcji Google App Engine konsoli chmurowej, co pozwala nieautoryzowanemu zdalnemu atakującemu na wyciek wrażliwych logów żądań App Engine z innych projektów za pomocą specjalnie przygotowanego żądania.

CVE-2026-8636
Średnie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 umożliwiają atakującemu odczytanie haseł użytkowników i kluczy kryptograficznych z pamięci. Atakujący może użyć tych samych kluczy do odszyfrowania haseł, uzyskać dostęp do aplikacji i dostęp do wrażliwych danych w bazie danych.

CVE-2026-8059
Średnie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 są podatne na atak typu cross-site scripting (XSS). Niezautoryzowany atakujący może osadzić dowolny kod JavaScript w interfejsie webowym, zmieniając zamierzoną funkcjonalność i potencjalnie prowadząc do ujawnienia danych uwierzytelniających w ramach zaufanej sesji.

CVE-2026-7253
Średnie

Podatność SSRF w IBM Watson Speech Services Cartridge umożliwia uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do skanowania sieci lub ułatwienia innych ataków. Problem dotyczy komponentu Sterling File Gateway używanego w środowiskach uruchomieniowych mowy.

CVE-2026-54267
Średnie

Podatność w Angularze umożliwia atak DOM Clobbering podczas hydracji aplikacji renderowanych po stronie serwera (SSR). Atakujący może podmienić element DOM używany do odzyskiwania stanu aplikacji, co prowadzi do wykonania złośliwego kodu.

CVE-2026-54266
Średnie

Podatność w Angularze dotyczy mechanizmu HttpTransferCache używanego podczas renderowania po stronie serwera (SSR). Atakujący może wykorzystać słaby 32-bitowy hash DJB2 do generowania kolizji, podmieniając odpowiedź wrażliwego endpointu w pamięci podręcznej TransferState. Problem został naprawiony w wersjach 22.0.1, 21.2.17 oraz 20.3.25.

CVE-2026-54265
Średnie

W Angularze wykryto podatność w pakiecie @angular/compiler, która pozwala na ominięcie sanityzacji właściwości DOM przy użyciu dwukierunkowego wiązania danych. Gdy właściwość wymagająca sanityzacji (np. innerHTML, srcdoc, src, href, data, sandbox) jest wiązana dwukierunkowo (składnia [(...)] lub bindon-...), kompilator nie stosuje odpowiedniego sanitizera, co umożliwia atakującemu kontrolującemu wartość takiej właściwości przeprowadzenie ataku XSS po stronie klienta.

CVE-2026-54264
Średnie

W Angularze, w pakiecie @angular/service-worker, występuje podatność na ujawnienie informacji. Gdy Service Worker pobiera zasoby, zachowuje metadane (takie jak nagłówki) z oryginalnego żądania, ale w przypadku przekierowań między domenami nie usuwa wrażliwych nagłówków, co narusza algorytm Fetch redirect. Pozwala to zdalnemu atakującemu uzyskać poufne dane uwierzytelniające (np. tokeny Authorization, dane Proxy-Authorization lub ciasteczka sesji) poprzez wywołanie przekierowania do niezaufanej zewnętrznej domeny.

CVE-2026-53655
Średnie

Podatność w bibliotece node-tar (przed wersją 7.5.16) polega na nieprawidłowym przetwarzaniu rozszerzonych nagłówków PAX. Biblioteka błędnie stosuje nadpisanie rozmiaru z nagłówka PAX do pośrednich nagłówków metadanych (np. GNU long-name), co powoduje desynchronizację strumienia danych względem innych implementacji tara. Umożliwia to stworzenie archiwum, które jest różnie interpretowane przez różne narzędzia.

CVE-2026-53550
Średnie

Podatność w bibliotece js-yaml przed wersjami 4.2.0 i 3.15.0 pozwala na atak DoS poprzez wysłanie spreparowanego dokumentu YAML z wielokrotnie powtarzanym aliasem w sekwencji scalania (<<). Powoduje to kwadratową złożoność czasową przetwarzania, co może zablokować pętlę zdarzeń Node.js na kilka sekund przy stosunkowo małym ładunku (kilkadziesiąt KB).

CVE-2026-52725
Średnie

W @angular/core do wersji 22.0.0-rc.2, 21.2.15, 20.3.22 i 19.2.23 występuje podatność polegająca na braku blokady montowania komponentów dynamicznych bezpośrednio na znaczniku <script> lub jego przestrzeni nazw (np. <svg:script>). Pozwala to atakującemu na wstrzyknięcie i wykonanie niezaufanego kodu w kontekście przeglądarki ofiary (XSS).

CVE-2026-50557
Średnie

W Angularze wykryto podatność w pakietach @angular/compiler i @angular/core, która pozwala na ominięcie mechanizmów sanityzacji elementów i atrybutów poprzez użycie specjalnie spreparowanych przestrzeni nazw. Atakujący może wstrzyknąć złośliwy szablon z elementami takimi jak <svg:script>, które nie są poprawnie identyfikowane jako skrypty, co prowadzi do wykonania skryptów po stronie klienta (XSS).

CVE-2026-41047
Średnie

W qSnapper przed wersją 1.3.3 brak uwierzytelnienia w funkcjach "snapshot diff" umożliwiał lokalnemu atakującemu odczytanie informacji chronionych przed odczytem.

CVE-2026-12725
Średnie

W dnsmasq odkryto przepełnienie bufora sterty. Gdy włączona jest walidacja DNSSEC i logowanie zapytań, logowanie odpowiedzi DS lub DNSKEY zawierających nieobsługiwane typy algorytmów lub skrótów może spowodować zapis poza koniec wewnętrznego bufora logowania. Zdalny atakujący może dostarczyć taką odpowiedź DNS, powodując awarię procesu dnsmasq i odmowę usługi.

CVE-2026-12549
Średnie

Poprawka dla CVE-2026-2443 została cofnięta przez późniejszy commit, który zastąpił konkretne kontrole przepełnienia ogólnym porównaniem ze znakiem. Gdy klient wysyła żądanie Range z długością sufiksu przekraczającą rozmiar treści, wynikająca z tego ujemna wartość początkowa nie jest odpowiednio ograniczana, co prowadzi do nieprawidłowych odpowiedzi HTTP 206 i zalewania logów.

CVE-2026-12479
Średnie

W wersji 3.14.0 biblioteki Keras występuje podatność na traversję ścieżki, związana z metodą `DiskIOStore.make`. Problem wynika z niewłaściwego przetwarzania nazw warstw dostarczanych przez użytkownika, co pozwala na nieautoryzowane operacje na systemie plików.

CVE-2026-11943
Średnie

Akaunting w wersji 3.1.21 zawiera podatność na przechowywane ataki XSS w dokumentach na stronach szczegółowych faktur i rachunków. Użytkownik z autoryzacją może zapisać kod HTML/JavaScript w swoim imieniu profilu.

CVE-2026-11942
Średnie

Akaunting 3.1.21 zawiera podatność na uwierzytelnione, przechowywane ataki typu cross-site scripting w procesie potwierdzania usunięcia. Użytkownik z uprawnieniami do tworzenia lub modyfikowania rekordów, takich jak przedmioty, może przechowywać HTML/JavaScript w nazwie rekordu.

CVE-2026-11372
Średnie

IBM TRIRIGA Application Platform w wersjach od 5.0.2 do 5.0.3 jest podatna na atak typu cross-site scripting (XSS). Uwierzytelniony użytkownik może osadzić dowolny kod JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2024-51454
Średnie

IBM Engineering Workflow Management w wersjach 7.0.2 do 7.0.2 Interim Fix 035, 7.0.3 do 7.0.3 Interim Fix 017 oraz 7.1 do 7.1 Interim Fix 004 jest podatny na wstrzykiwanie nagłówków HTTP z powodu nieprawidłowej walidacji danych wejściowych w nagłówkach HOST. Może to umożliwić atakującemu przeprowadzenie różnych ataków na podatny system, w tym cross-site scripting, zatruwanie pamięci podręcznej lub przejęcie sesji.

PoprzedniaStrona 81 z 541Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS