Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.15)

CVE-2025-61020
Wysokie

W komponencie sqlo_strip_in_join projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem umożliwiający atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61019
Wysokie

W składniku sqlo_key_part_best w openlink virtuoso-opensource v7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61018
Wysokie

W komponencie sqlo_place_dt_set projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem umożliwiający atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2026-54314
Wysokie

n8n to platforma automatyzacji procesów, która przed wersją 2.24.0 miała problem z węzłem Kompresji, który pozwalał na dekompresję archiwów kontrolowanych przez atakującego bez ograniczeń na rozmiar dekompresowanego wyjścia. Atakujący mógł wysłać małe skompresowane archiwum do publicznego webhooka, co prowadziło do wyczerpania pamięci i zakończenia procesu n8n.

CVE-2026-54313
Wysokie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersją 2.24.0, uwierzytelniony użytkownik z dostępem do edycji procesów roboczych mógł dostarczyć złośliwą wartość filtra w operacji Znajdź i Zamień w węźle MongoDB, co prowadziło do niezamierzonego dopasowania i nadpisania dokumentów kontrolowanych przez atakującego.

CVE-2026-54312
Wysokie

n8n to platforma automatyzacji procesów, która przed wersją 2.24.0 pozwalała uwierzytelnionym użytkownikom z uprawnieniami do tworzenia lub modyfikowania workflow na globalne zanieczyszczenie prototypu poprzez węzeł Microsoft SQL, dostarczając spreparowaną wartość jako parametr tabeli.

CVE-2026-54311
Wysokie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 2.25.7 i 2.26.2, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł zanieczyścić sandbox używany przez tryb zapytania SQL w węźle Merge.

CVE-2025-62180
Wysokie

Wersje Pega Platform od 8.3.0 do Infinity 25.1.2 mają słabość w autoryzacji, która może umożliwić uwierzytelnionym użytkownikom dostęp do dodatkowych danych za pomocą spreparowanych adresów URL.

CVE-2026-56815
Wysokie

Podatność w pwnlift przed wersją d7a9544 w uprzywilejowanym wdrożeniu umożliwia atakującemu podążanie za dowiązaniami symbolicznymi w module obsługi przesyłania plików w Components/Pages/Home.razor.

CVE-2026-35019
Wysokie

Routery NetComm NF20MESH działające na oprogramowaniu R6B031 i wcześniejszym zawierają lukę w autoryzacji, która pozwala nieautoryzowanym atakującym uzyskać dostęp administracyjny poprzez wykorzystanie wbudowanego klucza AES-256 do szyfrowania ciasteczek sesyjnych w interfejsie zarządzania. Atakujący mogą sfałszować ważne zaszyfrowane ciasteczko sesyjne, omijając kontrole autoryzacji.

CVE-2026-35018
Wysokie

Routery NetComm NF20MESH działające na oprogramowaniu R6B031 i wcześniejszym zawierają podatność na zdalne wykonanie kodu, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń jako root. Wykorzystanie tej podatności polega na wstrzyknięciu metaznaków powłoki do parametru JSON nazwy użytkownika przetwarzanego przez funkcję dalStorage_addUserAccount.

CVE-2026-56784
Wysokie

Podatność IDOR w OpenRemote przed wersją 1.25.0 umożliwia uwierzytelnionym użytkownikom trwałe usuwanie alarmów należących do innych dzierżawców poprzez podanie dowolnych identyfikatorów alarmów. Metoda removeAlarms() w AlarmResourceImpl.java pomija walidację zakresu dzierżawy w zapytaniu JPA.

CVE-2026-56379
WysokieEPSS 55%

Podatność w ImageMagick przed wersjami 7.1.2-15 i 6.9.13-40 umożliwia wstrzykiwanie poleceń w dekoderze SVG. Atakujący mogą wstrzyknąć dowolne polecenia MVG (Magick Vector Graphics) poprzez spreparowany plik SVG.

CVE-2026-56322
Wysokie

Capgo w wersjach przed 12.128.2 zawiera podatność na ujawnienie informacji w nieautoryzowanym punkcie końcowym /updates, który rozwiązuje parametr defaultChannel przed nałożeniem ograniczeń prywatności. Umożliwia to atakującym enumerację prywatnych kanałów oraz ujawnienie stanu wersji i konfiguracji.

CVE-2026-56275
Wysokie

Flowise w wersjach przed 3.1.0 zawiera podatność typu server-side request forgery (SSRF) w węźle Execute Flow, która pozwala atakującym na obejście walidacji bezpieczeństwa poprzez podanie adresów intranetowych w polu podstawowego URL. Atakujący mogą inicjować żądania HTTP do adresów wewnętrznych sieci oraz uzyskiwać dostęp do metadanych chmurowych.

CVE-2026-56258
Wysokie

Crawl4AI przed wersją 0.8.8 zawiera podatność na dowolne zapisywanie plików w punktach końcowych zrzutów ekranu i PDF, co pozwala nieautoryzowanym atakującym na zapis plików poza zamierzonym katalogiem.

CVE-2026-56248
Wysokie

Cap-go capgo (capgo-backend) w wersjach przed 12.128.12 zawiera podatność na nieautoryzowane odmowy usługi, wynikającą z polityki bezpieczeństwa na poziomie wiersza (RLS) w tabeli audit_logs, gdy jest dostępna przez API Supabase PostgREST.

CVE-2026-56243
Wysokie

Capgo w wersjach przed 12.128.2 zawiera lukę umożliwiającą obejście zabezpieczeń, w której PostgREST/RLS akceptuje niezaszyfrowane klucze API przez nagłówek capgkey, mimo że włączono enforce_hashed_api_keys. Atakujący mogą ominąć egzekwowanie kluczy haszowanych na poziomie organizacji, wysyłając niezaszyfrowane klucze API bezpośrednio do PostgREST/RLS w celu uzyskania dostępu do chronionych zasobów.

CVE-2026-56225
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na obejście autoryzacji w swoich handlerach zarządzania kluczami API (get/put/delete/post). Klucze API utworzone w trybie=all, ale ograniczone do jednej aplikacji przez limited_to_apps, są sprawdzane tylko pod kątem limited_to_orgs, co pozwala na manipulację kluczami API należącymi do tego samego konta.

CVE-2026-56222
Wysokie

Capgo przed wersją 12.128.2 zawiera lukę w autoryzacji w POST /private/role_bindings, która nie weryfikuje własności app_id podczas tworzenia powiązań ról w zakresie aplikacji. Atakujący z uprawnieniami administracyjnymi w jednej organizacji może tworzyć powiązania ról, które celują w aplikacje należące do innych organizacji.

PoprzedniaStrona 144 z 3419Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS