CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
IBM watsonx.data w wersjach od 2.2 do 2.3.1 nieprawidłowo ogranicza połączenia przychodzące i wychodzące, co może umożliwić atakującemu transfer lub modyfikację plików bez ograniczeń.
IBM Cognos Analytics w wersjach 11.2.0, 12.0 i 12.1.0 oraz IBM Cognos Transformer w wersjach 12.0, 11.2.4 i 12.1.0 jest podatny na przechowywane ataki typu cross-site scripting (XSS) w administracji Cognos. Ta podatność pozwala uprzywilejowanemu użytkownikowi na osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia danych uwierzytelniających w zaufanej sesji.
IBM webMethods Integration (on prem) w wersjach od 10.15 do IS_11.1_Core_Fix10 jest podatny na atak typu server-side request forgery (SSRF). Może to pozwolić uwierzytelnionemu atakującemu na wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do enumeracji sieci lub ułatwienia innych ataków.
W Apache Flink Kubernetes Operator występuje podatność typu Server-Side Request Forgery (SSRF), która pozwala użytkownikom z uprawnieniami CR na dostęp do plików z systemu plików podu operatora oraz na pobieranie treści z dowolnych adresów dostępnych przez warstwę systemu plików Flinka. Brak walidacji URI w FlinkSessionJob umożliwia również dostęp do wewnętrznych adresów.
Cargo niewłaściwie obsługiwał dowiązania symboliczne wewnątrz archiwów tarball z paczkami pobranymi z zewnętrznych rejestrów, co pozwalało złośliwej paczce na nadpisanie kodu źródłowego innej paczki z tego samego rejestru. Podatność ma średni poziom zagrożenia dla użytkowników zewnętrznych rejestrów.
Cargo w wersjach od 1.68 do 1.96 niepoprawnie normalizowało adresy URL zewnętrznych rejestrów przy użyciu protokołu sparse index. Jeśli dostawca hostingu pozwalał na hostowanie wielu rejestrów z dowolnymi nazwami w tej samej domenie, atakujący mógł uzyskać dane uwierzytelniające innych użytkowników tego samego rejestru.
Zidentyfikowano podatność w Acer Care Center, gdzie usługa ACCSvc tworzy Named Pipe z słabym opisem zabezpieczeń. Umożliwia to uwierzytelnionemu lokalnemu użytkownikowi połączenie się i wysłanie specjalnie przygotowanej wiadomości, co prowadzi do awarii usługi.
Wersje Mattermost 11.6.x do 11.6.0, 11.5.x do 11.5.3, 11.4.x do 11.4.4 oraz 10.11.x do 10.11.14 nie filtrują elementów nil z ładunków załączników webhooków przed ich przetworzeniem. Umożliwia to uwierzytelnionemu użytkownikowi spowodowanie odmowy usługi (zakończenie procesu serwera) poprzez spreparowaną odpowiedź callback webhooka zawierającą wpis załącznika null.
Podatność w Spring AI związana z obsługą API Skills firmy Anthropic pozwala na wykorzystanie nazw plików, które nie są odpowiednio oczyszczone przed zapisaniem ich na dysku. Może to umożliwić złośliwemu użytkownikowi zapis plików poza zamierzonym katalogiem docelowym, w tym w katalogach z ograniczeniami.
W systemie zarządzania pracownikami w wersji 1.0 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku /myprofile.php. Manipulacja argumentem ID prowadzi do ataku typu cross-site scripting (XSS).
A vulnerability was found in postcss-selector-parser up to versions 6.1.2/7.1.2, concerning the toString function in the src/selectors/container.js file. Manipulating this function can lead to uncontrolled recursion, allowing for remote attacks.
JupyterHub w wersjach od 4.1.0 do 5.4.4 ma problem z ochroną przed XSRF, który niewłaściwie traktuje żądania z nagłówkiem Sec-Fetch-Mode: no-cors jako żądania z tej samej domeny, co omija kontrole XSRF. Problem ten dotyczy tylko punktów końcowych formularzy HTTP, takich jak /hub/spawn i /hub/accept-share.
BentoML to biblioteka Pythona do budowania systemów serwujących zoptymalizowanych dla aplikacji AI. W wersjach 1.4.38 i wcześniejszych, proces pakowania budowy może podążać za symlinkami kontrolowanymi przez atakującego, co pozwala na kopiowanie zawartości plików do generowanego artefaktu Bento, co stwarza ryzyko wycieku wrażliwych danych.
A Directory Traversal vulnerability in Easy Chat Server 3.1 allows a remote attacker to read sensitive information and execute arbitrary code via the UserName parameter.
Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzony HTML przed renderowaniem.
Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują sanitizować wprowadzany HTML przed renderowaniem.
Analiza dowolnego HTML, który jest następnie renderowany za pomocą Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.
Analiza dowolnego HTML, który jest następnie renderowany przy użyciu Render, może prowadzić do nieoczekiwanej struktury HTML. Może to być wykorzystane do przeprowadzenia ataków XSS w aplikacjach, które próbują oczyszczać wprowadzany HTML przed renderowaniem.
Analiza dowolnego HTML może powodować nadmierne zużycie czasu procesora, co może prowadzić do odmowy usługi.
Dell Unisphere dla PowerMax w wersji przed 10.0.0.2 zawiera podatność na obejście autoryzacji w aplikacji Unisphere dla VMAX działającej w vApp.

