Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-34912
Średnie

Brak kontroli dostępu przy łączeniu banerów lub kampanii z strefą w skrypcie zone-include.php Revive Adserver 6.0.6 i wcześniejszych wersjach pozwala na to, że użytkownik o niskich uprawnieniach może połączyć swoje strefy z banerami lub kampaniami należącymi do innych menedżerów w tej samej instancji.

CVE-2026-33760
Wysokie

Langflow przed wersją 1.9.0 zawiera podatność IDOR/BOLA w routerze /api/v1/monitor. Siedem endpointów umożliwia odczyt, modyfikację, zmianę nazwy lub trwałe usunięcie danych innych użytkowników (wiadomości, sesji, artefaktów budowania, logów transakcji LLM) bez sprawdzania własności zasobu. Wystarczy podać identyfikator zasobu lub flow_id ofiary.

CVE-2026-13007
Wysokie

Tenable Identity Exposure zawiera wiele nieautoryzowanych punktów końcowych API pod /w/api/*, które ujawniają wrażliwe dane konfiguracyjne aplikacji, w tym hasła LDAP w postaci niezaszyfrowanej, konfigurację SAML, konta użytkowników oraz ustawienia katalogu. Odpowiedzi są serwowane z nagłówkami Cache-Control: public i bez Vary: Cookie, co pozwala na buforowanie i udostępnianie tych danych nieautoryzowanym użytkownikom.

CVE-2026-12958
Wysokie

Brak walidacji symlinków w serwerach językowych dla AWS może umożliwić zapis dowolnego pliku poza granicami zaufania przestrzeni roboczej. Może to nastąpić, gdy lokalny użytkownik otworzy przestrzeń roboczą z złośliwie skonstruowanym symlinkiem, który prowadzi do ścieżki pliku poza granicami zaufania.

CVE-2026-12957
Wysokie

Nieprawidłowe egzekwowanie granic zaufania w serwerach językowych dla AWS przed wersją 1.65.0 może umożliwić wykonanie dowolnego kodu. Otwierając złośliwie skonstruowane środowisko robocze, lokalny użytkownik może nieświadomie uruchomić polecenia zawarte w plikach konfiguracyjnych projektu.

CVE-2026-11940
Wysokie

Podatność w funkcji tarfile.extractall() z filtrem 'data' lub 'tar' pozwala na ominięcie zabezpieczeń przez spreparowane archiwum, w którym dowiązanie twarde odwołuje się do dowiązania symbolicznego znajdującego się głębiej w strukturze archiwum. Mechanizm walidacji sprawdza dowiązanie symboliczne w jego oryginalnej lokalizacji, ale odtwarza je w płytszej ścieżce dowiązania twardego, co umożliwia ucieczkę poza docelowy katalog.

CVE-2025-61028
Wysokie

W komponencie time_t_to_dt w oprogramowaniu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61027
Wysokie

Problem w komponencie t_set_push w openlink virtuoso-opensource w wersji 7.2.11 umożliwia atakującym spowodowanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61025
Wysokie

W składniku sslr_qst_get w openlink virtuoso-opensource w wersji 7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61023
Wysokie

W komponencie st_compare projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61022
Wysokie

Problem w komponencie sqlo_tb_col_preds w openlink virtuoso-opensource v7.2.11 umożliwia atakującym wywołanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61021
Wysokie

Problem w komponencie sqlo_natural_join_cond w openlink virtuoso-opensource v7.2.11 umożliwia atakującym spowodowanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61020
Wysokie

W komponencie sqlo_strip_in_join projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto podatność, która umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61019
Wysokie

W składniku sqlo_key_part_best w openlink virtuoso-opensource v7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61018
Wysokie

W komponencie sqlo_place_dt_set projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem umożliwiający atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-13162
Średnie

Podatność związana z niekontrolowanym elementem ścieżki wyszukiwania w ABB Control Builder A oraz ABB 800xA dla Advant Master. Dotyczy to wersji Control Builder A do 1.4/4 oraz 800xA dla Advant Master do wersji 6.0.3-1, 6.1.1-1, 6.1.1-3, 6.2.0-1.

CVE-2026-56696
Średnie

Polecenia slash /issue i /pr_comments w OpenHarness nie mają ochrony remote_invocable=False, co pozwala zdalnym nadawcom na wstrzykiwanie kontrolowanego przez atakującego Markdown do plików kontekstowych projektu.

CVE-2026-56695
Średnie

W bramce OpenHarness ohmo polecenia /resume i /summary mają domyślnie ustawioną opcję remote_invocable na True, co pozwala zdalnym nadawcom na enumerację i ładowanie dowolnych zrzutów sesji według ID. Atakujący mogą wykorzystać to do uzyskania dostępu do zrzutów ofiar zawierających prywatne dane, takie jak hasła i ścieżki do plików.

CVE-2026-56694
Średnie

NanoClaw przed wersją 2.1.0 zawiera podatność na eskalację uprawnień w procesie zatwierdzania rejestracji kanałów, gdzie funkcja handleChannelApprovalResponse nie weryfikuje uprawnień administratora dla docelowych grup agentów.

CVE-2026-56693
Średnie

NanoClaw przed wersją 2.1.17 zawiera podatność na eskalację uprawnień w obsłudze akcji create_agent, która wykonuje zapisy do centralnej bazy danych bez sprawdzania autoryzacji po stronie hosta. Ograniczone kontenery agentów mogą wywołać create_agent, aby tworzyć dowolne grupy agentów, konfiguracje kontenerów i miejsca docelowe, przekraczając swoje zamierzone granice ograniczenia.

PoprzedniaStrona 218 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS