Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.01)
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w systemie pomocy konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na ataki typu cross-site scripting (XSS) w zintegrowanym systemie pomocy konsoli administracyjnej. Umożliwia to atakującemu wstrzyknięcie złośliwego skryptu do strony pomocy.
IBM Langflow OSS w wersjach 1.0.0 do 1.10.0 w trybie głosowym nieprawidłowo zarządza współdzielonym stanem, co umożliwia ponowne wykorzystanie klientów API pomiędzy dzierżawcami. Uwierzytelniony atakujący może manipulować stanem pamięci podręcznej, powodując przetwarzanie żądań innych użytkowników z użyciem nieprawidłowych poświadczeń API, co prowadzi do błędnego przypisania kosztów i odpowiedzialności między dzierżawcami.
IBM Langflow OSS w wersjach od 1.0.0 do 1.9.3 zawiera krytyczną podatność, która pozwala atakującemu na odczyt wszystkich sekretów dostępnych dla procesu Langflow, odczyt i modyfikację wszystkich przepływów, konwersacji, wiadomości, przesłanych plików oraz zapisanych komponentów w bazie danych Langflow. Atakujący może również łączyć się z wewnętrznymi usługami, nadużywać punktów końcowych metadanych chmury, przemieszczać się lateralnie do innych dzierżawców w tej samej instancji Langflow oraz utrwalić dostęp poprzez modyfikację `tool_code` publicznego przepływu, co powoduje ponowne wykonanie kodu atakującego przy każdym wywołaniu `/api/v1/build/...` przez dowolnego użytkownika.
IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 zawiera podatność na zdalne wykonanie kodu z powodu nieprawidłowej obsługi uzgadniania DRDA przed uwierzytelnieniem.
Orkes Conductor w wersjach od 3.21.21 do 3.30.2 zawiera nieuwierzytelnioną podatność na zdalne wykonanie kodu. Atakujący może wysłać złośliwą definicję przepływu pracy z wyrażeniami JavaScript lub Python do interfejsu API przed uwierzytelnieniem, co pozwala na wykonanie dowolnych poleceń systemowych.
Podatność w Ocelot do wersji 24.1.0 (załatana w commicie f156fd4) pozwala ominąć ograniczenia dostępu oparte na adresie IP poprzez wysłanie żądania WebSocket. Gałąź potoku WebSocket zdefiniowana w OcelotPipelineExtensions.cs pomija SecurityMiddleware, przez co żądania z zablokowanych adresów IP są przekazywane do usług niższego poziomu bez egzekwowania listy dozwolonych/zablokowanych.
OpenBMB ChatDev do wersji 2.2.0 (poprawione w commicie 4fd4da6) zawiera podatność na path traversal, która pozwala nieuwierzytelnionym zdalnym atakującym na zapis lub usunięcie dowolnych plików poprzez dostarczenie złośliwej nazwy pliku w endpointcie uploadu. Atakujący mogą wysłać spreparowaną nazwę pliku zawierającą sekwencje path traversal lub ścieżkę absolutną do endpointu POST uploads session, co powoduje, że operacje zapisu i czyszczenia plików są wykonywane na ścieżkach wybranych przez atakującego w systemie plików serwera.
Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atakujący może wstrzyknąć złośliwe skrypty na stronę internetową, potencjalnie uzyskując podwyższone uprawnienia lub kontrolę nad kontem lub sesją ofiary. Wykorzystanie podatności wymaga interakcji użytkownika, który musi otworzyć złośliwy plik, a zakres ataku jest zmieniony.
Podatność typu Path Traversal w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych umożliwia nieautoryzowany odczyt plików oraz ograniczony zapis poza dozwolonym katalogiem. Atakujący może wykorzystać tę lukę bez interakcji użytkownika, uzyskując dostęp do wrażliwych danych.
Adobe Campaign Classic (ACC) w wersjach 7.4.3 build 9396 i wcześniejszych zawiera podatność nieprawidłowej autoryzacji, która może umożliwić zdalne wykonanie dowolnego kodu w kontekście bieżącego użytkownika. Eksploatacja nie wymaga interakcji użytkownika, a zakres podatności ulega zmianie.
Podatność w ColdFusion umożliwia nieograniczone przesyłanie plików z niebezpiecznym typem, co może prowadzić do zdalnego wykonania kodu w kontekście bieżącego użytkownika. Atak nie wymaga interakcji użytkownika, a zakres podatności jest zmieniony.
Podatność typu Path Traversal w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych umożliwia zdalnemu atakującemu wykonanie dowolnego kodu w kontekście bieżącego użytkownika bez wymaganej interakcji z ofiarą. Problem wynika z nieprawidłowego ograniczenia ścieżki do zastrzeżonego katalogu.
W programie ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wykryto podatność polegającą na nieprawidłowej walidacji danych wejściowych. Może ona umożliwić zdalnemu atakującemu wykonanie dowolnego kodu w kontekście bieżącego użytkownika bez konieczności interakcji z ofiarą.
Podatność w ColdFusion w wersjach 2025.9, 2023.20 i wcześniejszych wynika z nieprawidłowej walidacji danych wejściowych, co może prowadzić do zdalnego wykonania dowolnego kodu w kontekście bieżącego użytkownika. Atak nie wymaga interakcji z użytkownikiem, a zakres podatności uległ zmianie.
Podatność w ColdFusion umożliwia nieograniczone przesyłanie plików z niebezpiecznym typem, co może prowadzić do zdalnego wykonania kodu w kontekście bieżącego użytkownika. Atak nie wymaga interakcji użytkownika, a zakres podatności jest zmieniony.
W przeglądarce Firefox 152.0.3 wykryto błędy bezpieczeństwa pamięci, które mogły prowadzić do uszkodzenia pamięci. Przy odpowiednim nakładzie pracy niektóre z nich mogły zostać wykorzystane do zdalnego wykonania dowolnego kodu. Luka została naprawiona w wersji Firefox 152.0.4.
Wielokrotne przepełnienia pamięci w NetScaler ADC i NetScaler Gateway mogą prowadzić do nieprzewidywalnego lub błędnego zachowania oraz odmowy usługi (DoS). Podatność występuje, gdy NetScaler ADC jest skonfigurowany jako równoważnik obciążenia Oracle, serwer proxy DNS lub rekurencyjny resolver DNS.
Podatność przepełnienia pamięci w NetScaler ADC i NetScaler Gateway może prowadzić do nieprzewidywalnego lub błędnego zachowania oraz odmowy usługi (DoS), jeśli urządzenie jest skonfigurowane jako brama (SSL VPN, ICA Proxy, CVPN, RDP Proxy) lub serwer wirtualny AAA.
Podatność w @fastify/express w wersjach 4.0.6 i wcześniejszych powoduje, że prefiksy pluginów nie są stosowane do ścieżek montowania middleware, gdy są one tablicami lub wyrażeniami regularnymi. W rezultacie middleware rejestrowane w ten sposób nie jest wykonywane dla żądań kierowanych do prefiksowanych tras, co umożliwia ominięcie mechanizmów bezpieczeństwa.

