Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-50184
Średnie

Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych przez Service Worker Angulara usuwane są jawne ustawienia bezpieczeństwa (credentials i cache mode). W efekcie przeglądarka wysyła aktywne dane uwierzytelniające (np. ciasteczka) tam, gdzie programista nakazał je pominąć, a prywatne zasoby są buforowane w lokalnej pamięci podręcznej.

CVE-2026-50171
Średnie

W Angularze w pakiecie @angular/common wykryto podatność na odmowę usługi (DoS). Funkcja formatNumber, używana również przez DecimalPipe, PercentPipe i CurrencyPipe, nie waliduje poprawnie górnych granic parametru digitsInfo, co pozwala na przekazanie złośliwie spreparowanego ciągu znaków z bardzo dużymi wartościami cyfr ułamkowych. Powoduje to nieskończoną pętlę w funkcji roundNumber, prowadzącą do przeciążenia systemu.

CVE-2026-50170
Wysokie

W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w stanie TransferState. Dane te są serializowane do HTML i mogą być przechowywane w pamięci podręcznej CDN lub proxy, prowadząc do wycieku prywatnych danych między użytkownikami.

CVE-2026-50169
Średnie

Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych dla dopasowanych zasobów usługa Service Worker usuwa ścisłą politykę przekierowań (np. redirect: 'error'), zastępując ją domyślnym zachowaniem przeglądarki 'follow'. Może to prowadzić do nieautoryzowanego śledzenia przekierowań HTTP 3xx, co stwarza ryzyko wycieku ciasteczek, poświadczeń lub danych chronionych sesją.

CVE-2026-50168
Wysokie

Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań serwerowych do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co prowadzi do ataku SSRF.

CVE-2026-49356
Niskie

Babel to kompilator do pisania nowoczesnego JavaScript. Przed wersjami 8.0.0-rc.6 i 7.29.6, @babel/core był podatny na odczyt dowolnego pliku przez komentarz sourceMappingURL. Użycie @babel/core do kompilacji złośliwie spreparowanego kodu może pozwolić atakującemu na odczyt dowolnej mapy źródłowej z systemu, na którym działa Babel, jeśli atakujący kontroluje wejściowy kod źródłowy, może odczytać wyjściowy kod źródłowy i zna ścieżkę pliku mapy źródłowej, który chce odczytać.

CVE-2026-48712
Wysokie

Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.

CVE-2026-46417
Średnie

W Angularze przed wersjami 22.0.0-next.12, 21.2.13, 20.3.21 i 19.2.22 wykryto podatność SSRF w module @angular/platform-server. Problem polega na tym, że silnik renderowania po stronie serwera (SSR) może zostać oszukany przez przekazanie absolutnego URL-a (np. http://evil.com), co pozwala atakującemu przejąć kontrolę nad hostem i przekierować żądania HttpClient na zewnętrzny serwer.

CVE-2026-42127
Wysokie

Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.

CVE-2026-12249
Krytyczne

Wykryto problem w wersjach Canonical ADSys do v0.16.2, polegający na używaniu nieszyfrowanego połączenia HTTP do żądania certyfikatu CA z serwera AD CS. Atakujący może przeprowadzić atak typu Man-in-the-Middle, co prowadzi do zainstalowania złośliwego certyfikatu w lokalnym magazynie zaufania systemu.

CVE-2026-11994
Średnie

Akaunting w wersji 3.1.21 zawiera podatność na uwierzytelnione przechowywane ataki typu Cross-Site Scripting w procesie zarządzania raportami. Użytkownik z uprawnieniami do tworzenia lub aktualizacji raportów może przechowywać dowolny kod HTML/JavaScript w polu opisu raportu.

CVE-2026-11825
Nieznane

Numer CVE-2026-11825 został wydany omyłkowo i nie powinien być używany. Wszystkie odniesienia i opisy związane z tym numerem zostały usunięte.

CVE-2026-10789
Krytyczne

Złośliwie skonstruowana strona internetowa, odwiedzona przez użytkownika z uruchomionym Autodesk Fusion Desktop i włączonym rozszerzeniem MCP, może wywołać podatność w tym rozszerzeniu, co może prowadzić do wykonania dowolnego kodu.

CVE-2026-9610
Niskie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 ujawniają zasoby lub funkcjonalności, które nie są powiązane w interfejsie użytkownika, ale są dostępne przez bezpośrednie żądanie URL, omijając zamierzone mechanizmy kontroli dostępu.

CVE-2026-9320
Średnie

IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany wysłaniem specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.

CVE-2026-9072
Wysokie

IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty, korzystające z Intelligent Management z komponentem WebSphere WebServer Plug-in, są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi”. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwery zaplecza i wysyła spreparowane odpowiedzi do wtyczki.

CVE-2026-9071
Wysokie

IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany przez wysłanie specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.

CVE-2026-9006
Wysokie

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na atak typu server-side request forgery (SSRF) w przypadku skonfigurowanego Ajax Proxy. Może to umożliwić atakującemu wysyłanie nieautoryzowanych żądań z systemu, co prowadzi do obejścia zabezpieczeń lub ujawnienia informacji.

CVE-2026-8934
Średnie

W podatności CVE-2026-8934 występuje brak autoryzacji w operacji prywatnego API GraphQL w sekcji Google App Engine konsoli chmurowej, co pozwala nieautoryzowanemu zdalnemu atakującemu na wyciek wrażliwych logów żądań App Engine z innych projektów za pomocą specjalnie przygotowanego żądania.

CVE-2026-8858
Wysokie

IBM WebSphere Application Server oraz Liberty są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi” w komponencie wtyczki serwera WWW. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwer aplikacji i wysyła spreparowane odpowiedzi do wtyczki.

PoprzedniaStrona 228 z 4549Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS