Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2025-36327
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi ominięcie kontroli bezpieczeństwa i wykonanie nieautoryzowanych działań z powodu egzekwowania zabezpieczeń po stronie klienta zamiast serwera.

CVE-2025-36324
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na fałszerstwo żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może wysyłać nieautoryzowane żądania z systemu, co może prowadzić do skanowania sieci lub ułatwiać inne ataki.

CVE-2025-36323
Średnie

Podatność XSS w IBM watsonx.data intelligence umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

CVE-2025-36321
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na wstrzykiwanie kodu HTML. Zdalny atakujący może wstrzyknąć złośliwy kod HTML, który po wyświetleniu zostanie wykonany w przeglądarce ofiary w kontekście bezpieczeństwa hostowanej witryny.

CVE-2025-36320
Średnie

Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

CVE-2025-36319
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wywołanie tymczasowej odmowy usługi poprzez specjalnie spreparowane żądanie HTTP. Problem wynika z nieprawidłowego przydziału ograniczeń zasobów.

CVE-2025-12530
Średnie

IBM watsonx.data intelligence w wersjach 5.2.2, 5.3.0, 5.3.1 oraz 5.3.1 do patch-1 przesyła dane w postaci niezaszyfrowanego tekstu. Umożliwia to atakującemu przechwycenie wrażliwych informacji za pomocą technik man-in-the-middle.

CVE-2026-9836
Niskie

IBM InfoSphere Information Server w wersjach od 11.7.0.0 do 11.7.1.6 zawiera podatność na ujawnienie informacji. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych.

CVE-2026-9002
Średnie

IBM WebSphere Extreme Scale w wersjach 8.6.1.0 do 8.6.1.6 zawiera podatność na atak DoS spowodowaną nieprawidłową walidacją w dekoderze XDF. Aplikacja przetwarza głęboko zagnieżdżone wiadomości Protocol Buffers oraz prefiksy długości kontrolowane przez atakującego bez wystarczającego sprawdzania granic, co może prowadzić do przepełnienia stosu lub pamięci.

CVE-2026-7874
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.

CVE-2026-7873
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą uwierzytelnionym atakującym wykonanie dowolnych poleceń systemu operacyjnego oraz odczyt wrażliwych plików, w tym poświadczeń. Prowadzi to do całkowitego przejęcia systemu i umożliwia ruch boczny w sieci.

CVE-2026-7871
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą użytkownikom z dostępem do Redis wykonanie dowolnego kodu z pełnymi uprawnieniami aplikacji. Luka ta zagraża poufności wszystkich sekretów, danych oraz integralności systemu.

CVE-2026-7803
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu. Problem wynika z nieprawidłowej walidacji węzłów przepływu, które mają brakujące lub puste pola typu komponentu.

CVE-2026-7663
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.9.6 zawiera podatność polegającą na nieprawidłowym egzekwowaniu autoryzacji w punkcie końcowym transportu Streamable MCP. Umożliwia to nieuwierzytelnionym atakującym dostęp do chronionych zasobów projektu MCP oraz wykonywanie operacji MCP.

CVE-2026-3602
Średnie

IBM App Connect Enterprise w wersjach 13.0.1.0–13.0.7.2 oraz 12.0.1.0–12.0.12.26, a także IBM Integration Bus for z/OS 10.1.0.0–10.1.0.7, zawiera podatność na wstrzykiwanie SQL. Zdalny atakujący może poprzez socjotechnikę nakłonić użytkownika do przypadkowego utworzenia plików, o których ten może nie wiedzieć.

CVE-2026-13773
ŚrednieEPSS 87%

IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera około 50 wygenerowanych klas stubów CORBA w pliku ogclient.jar, które podczas deserializacji Java wywołują ORB.string_to_object() na kontrolowanym przez atakującego ciągu IOR. To przekształca każdy niefiltrowany strumień ObjectInputStream w aplikacji WAS w wychodzące IIOP SSRF do wybranego przez atakującego hosta.

CVE-2026-13772
Wysokie

IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera podatność w silniku języka zapytań OQL, który bez listy dozwolonych klas rozwiązuje nazwy klas dostarczone przez atakującego za pomocą Class.forName() i wywołuje ich konstruktory w trzech różnych miejscach (SELECT NEW, literały enum oraz komparatory oparte na refleksji). Uwierzytelniony zdalny atakujący, który może wpłynąć na tworzone przez aplikację zapytanie OQL, może wykonać dowolne konstruktory na JVM WAS, a wariant SELECT DISTINCT wykorzystujący spreparowane wartości gridowe uruchamia ten sam gadżet po deserializacji w sposób omijający filtry serializacji JEP-290 na granicach węzłów gridu.

CVE-2026-13759
Wysokie

IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera trzy podklasy ObjectInputStream (WsObjectInputStream, ObjectStreamPool$ReusableInputStream, ObjectInputStreamResolver), które nie instalują filtra klas JEP-290. Gdy Coherence znajduje się na ścieżce klas, potwierdzono działanie wielu łańcuchów gadżetów RCE, w tym RemoteConstructor.readResolve i PriorityQueue/ExtractorComparator, umożliwiając atakującemu po zalogowaniu (poprzez zapis atrybutu sesji) lub atakującemu w sąsiedztwie sieci LAN (poprzez przewód replikacji siatki) wykonanie dowolnego kodu na innych JVM WAS.

CVE-2026-13449
Wysokie

IBM Business Automation Manager Open Editions w wersjach od 9.0.0 do 9.4.2 jest podatny na atak XML External Entity Injection (XXE) podczas przetwarzania danych XML. Zdalny atakujący może wykorzystać tę podatność do ujawnienia poufnych informacji lub wyczerpania zasobów pamięci.

CVE-2026-12086
Średnie

IBM UrbanCode Deploy i IBM DevOps Deploy przechowują potencjalnie wrażliwe informacje w plikach dziennika, które mogą być odczytane przez lokalnego użytkownika. Podatność dotyczy wersji 7.2 do 7.2.3.23, 7.3 do 7.3.2.18 oraz 8.0 do 8.0.1.13, 8.1 do 8.1.2.6 i 8.2 do 8.2.1.0.

PoprzedniaStrona 144 z 4582Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS