CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-36145
Medium

IBM watsonx.data w wersjach od 2.2 do 2.3.1 nieprawidłowo ogranicza połączenia przychodzące i wychodzące, co może umożliwić atakującemu transfer lub modyfikację plików bez ograniczeń.

CVE-2025-36126
Medium

IBM Cognos Analytics w wersjach 11.2.0, 12.0 i 12.1.0 oraz IBM Cognos Transformer w wersjach 12.0, 11.2.4 i 12.1.0 jest podatny na przechowywane ataki typu cross-site scripting (XSS) w administracji Cognos. Ta podatność pozwala uprzywilejowanemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.

CVE-2025-14290
Medium

IBM webMethods Integration (on prem) w wersjach od 10.15 do IS_11.1_Core_Fix10 jest podatny na atak typu server-side request forgery (SSRF). Może to pozwolić uwierzytelnionemu atakującemu na wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.

CVE-2026-40564
Medium

W Apache Flink Kubernetes Operator występuje podatność typu Server-Side Request Forgery (SSRF), która pozwala użytkownikom z uprawnieniami CR na dostęp do plików z systemu plików podu operatora oraz na pobieranie treści z dowolnych adresów dostępnych przez warstwę systemu plików Flinka. Brak walidacji URI w FlinkSessionJob umożliwia również dostęp do wewnętrznych adresów.

CVE-2026-5223
Medium

Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.

CVE-2026-5222
Medium

Cargo w wersjach od 1.68 do 1.96 niepoprawnie normalizowało adresy URL zewnętrznych rejestrów przy użyciu protokołu sparse index. Jeśli dostawca hostingu pozwalał na hostowanie wielu rejestrów z dowolnymi nazwami w tej samej domenie, atakujący mógł uzyskać dane uwierzytelniające innych użytkowników tego samego rejestru.

CVE-2026-9490
Medium

Zidentyfikowano podatność w Acer Care Center, gdzie usługa ACCSvc tworzy Named Pipe z słabym opisem zabezpieczeń. Umożliwia to uwierzytelnionemu lokalnemu użytkownikowi połączenie się i wysłanie specjalnie przygotowanej wiadomości, co prowadzi do awarii usługi.

CVE-2026-4915
Medium

Wersje Mattermost 11.6.x do 11.6.0, 11.5.x do 11.5.3, 11.4.x do 11.4.4 oraz 10.11.x do 10.11.14 nie filtrują elementów nil z ładunków załączników webhooków przed ich przetworzeniem. Umożliwia to uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi (zakończenie procesu serwera) poprzez spreparowaną odpowiedź callback webhooka zawierającą wpis załącznika null.

CVE-2026-41863
Medium

Podatność w Spring AI związana z obsługą API Skills firmy Anthropic pozwala na wykorzystanie nazw plików, które nie są odpowiednio oczyszczone przed zapisaniem ich na dysku. Może to umożliwić złośliwemu użytkownikowi zapis plików poza zamierzonym katalogiem docelowym, w tym w katalogach z ograniczeniami.

CVE-2026-9416
Medium

W systemie zarządzania pracownikami w wersji 1.0 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku /myprofile.php. Manipulacja argumentem ID prowadzi do ataku typu cross-site scripting (XSS).

CVE-2026-9358
Medium

A vulnerability was found in postcss-selector-parser up to versions 6.1.2/7.1.2, concerning the toString function in the src/selectors/container.js file. Manipulating this function can lead to uncontrolled recursion, allowing for remote attacks.

CVE-2026-40864
Medium

JupyterHub w wersjach od 4.1.0 do 5.4.4 ma problem z ochroną przed XSRF, który niewłaściwie traktuje żądania z nagłówkiem Sec-Fetch-Mode: no-cors jako żądania z tej samej domeny, co omija kontrole XSRF. Problem ten dotyczy tylko punktów końcowych formularzy HTTP, takich jak /hub/spawn i /hub/accept-share.

CVE-2026-40610
Medium

BentoML to biblioteka Pythona do budowania systemów serwujących zoptymalizowanych dla aplikacji AI. W wersjach 1.4.38 i wcześniejszych, proces pakowania budowy może podążać za symlinkami kontrolowanymi przez atakującego, co pozwala na kopiowanie zawartości plików do generowanego artefaktu Bento, co stwarza ryzyko wycieku wrażliwych danych.

CVE-2026-36227
MediumEPSS 54%

A Directory Traversal vulnerability in Easy Chat Server 3.1 allows a remote attacker to read sensitive information and execute arbitrary code via the UserName parameter.

CVE-2026-42506
Medium

Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzony HTML przed renderowaniem.

CVE-2026-42502
Medium

Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzany HTML przed renderowaniem.

CVE-2026-27136
Medium

Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.

CVE-2026-25681
Medium

Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.

CVE-2026-25680
Medium

Analiza dowolnego HTML może powodować nadmierne zużycie czasu procesora, co może prowadzić do odmowy usługi.

CVE-2022-34363
Medium

Dell Unisphere dla PowerMax w wersji przed 10.0.0.2 zawiera podatność na obejście autoryzacji w aplikacji Unisphere dla VMAX działającej w vApp.

PreviousPage 222 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS