Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.13)
Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych przez Service Worker Angulara usuwane są jawne ustawienia bezpieczeństwa (credentials i cache mode). W efekcie przeglądarka wysyła aktywne dane uwierzytelniające (np. ciasteczka) tam, gdzie programista nakazał je pominąć, a prywatne zasoby są buforowane w lokalnej pamięci podręcznej.
W Angularze w pakiecie @angular/common wykryto podatność na odmowę usługi (DoS). Funkcja formatNumber, używana również przez DecimalPipe, PercentPipe i CurrencyPipe, nie waliduje poprawnie górnych granic parametru digitsInfo, co pozwala na przekazanie złośliwie spreparowanego ciągu znaków z bardzo dużymi wartościami cyfr ułamkowych. Powoduje to nieskończoną pętlę w funkcji roundNumber, prowadzącą do przeciążenia systemu.
W Angularze wykryto podatność w module @angular/common, gdy włączone jest renderowanie po stronie serwera (SSR) i hydratacja. Mechanizm HttpTransferCache nie sprawdza flagi withCredentials ani nagłówka Cookie, co powoduje buforowanie odpowiedzi uwierzytelnionych użytkowników w stanie TransferState. Dane te są serializowane do HTML i mogą być przechowywane w pamięci podręcznej CDN lub proxy, prowadząc do wycieku prywatnych danych między użytkownikami.
Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych dla dopasowanych zasobów usługa Service Worker usuwa ścisłą politykę przekierowań (np. redirect: 'error'), zastępując ją domyślnym zachowaniem przeglądarki 'follow'. Może to prowadzić do nieautoryzowanego śledzenia przekierowań HTTP 3xx, co stwarza ryzyko wycieku ciasteczek, poświadczeń lub danych chronionych sesją.
Podatność w pakiecie @angular/platform-server umożliwia atakującemu ominięcie listy dozwolonych hostów i wysłanie żądań serwerowych do dowolnych zewnętrznych punktów końcowych. Problem wynika z różnic w parsowaniu adresów URL między rygorystycznym parserem WHATWG a liberalnym parserem Domino, co prowadzi do ataku SSRF.
Babel to kompilator do pisania nowoczesnego JavaScript. Przed wersjami 8.0.0-rc.6 i 7.29.6, @babel/core był podatny na odczyt dowolnego pliku przez komentarz sourceMappingURL. Użycie @babel/core do kompilacji złośliwie spreparowanego kodu może pozwolić atakującemu na odczyt dowolnej mapy źródłowej z systemu, na którym działa Babel, jeśli atakujący kontroluje wejściowy kod źródłowy, może odczytać wyjściowy kod źródłowy i zna ścieżkę pliku mapy źródłowej, który chce odczytać.
Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.
W Angularze przed wersjami 22.0.0-next.12, 21.2.13, 20.3.21 i 19.2.22 wykryto podatność SSRF w module @angular/platform-server. Problem polega na tym, że silnik renderowania po stronie serwera (SSR) może zostać oszukany przez przekazanie absolutnego URL-a (np. http://evil.com), co pozwala atakującemu przejąć kontrolę nad hostem i przekierować żądania HttpClient na zewnętrzny serwer.
Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.
Wykryto problem w wersjach Canonical ADSys do v0.16.2, polegający na używaniu nieszyfrowanego połączenia HTTP do żądania certyfikatu CA z serwera AD CS. Atakujący może przeprowadzić atak typu Man-in-the-Middle, co prowadzi do zainstalowania złośliwego certyfikatu w lokalnym magazynie zaufania systemu.
Akaunting w wersji 3.1.21 zawiera podatność na uwierzytelnione przechowywane ataki typu Cross-Site Scripting w procesie zarządzania raportami. Użytkownik z uprawnieniami do tworzenia lub aktualizacji raportów może przechowywać dowolny kod HTML/JavaScript w polu opisu raportu.
Numer CVE-2026-11825 został wydany omyłkowo i nie powinien być używany. Wszystkie odniesienia i opisy związane z tym numerem zostały usunięte.
Złośliwie skonstruowana strona internetowa, odwiedzona przez użytkownika z uruchomionym Autodesk Fusion Desktop i włączonym rozszerzeniem MCP, może wywołać podatność w tym rozszerzeniu, co może prowadzić do wykonania dowolnego kodu.
IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 ujawniają zasoby lub funkcjonalności, które nie są powiązane w interfejsie użytkownika, ale są dostępne przez bezpośrednie żądanie URL, omijając zamierzone mechanizmy kontroli dostępu.
IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany wysłaniem specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.
IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty, korzystające z Intelligent Management z komponentem WebSphere WebServer Plug-in, są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi”. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwery zaplecza i wysyła spreparowane odpowiedzi do wtyczki.
IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany przez wysłanie specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.
IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na atak typu server-side request forgery (SSRF) w przypadku skonfigurowanego Ajax Proxy. Może to umożliwić atakującemu wysyłanie nieautoryzowanych żądań z systemu, co prowadzi do obejścia zabezpieczeń lub ujawnienia informacji.
W podatności CVE-2026-8934 występuje brak autoryzacji w operacji prywatnego API GraphQL w sekcji Google App Engine konsoli chmurowej, co pozwala nieautoryzowanemu zdalnemu atakującemu na wyciek wrażliwych logów żądań App Engine z innych projektów za pomocą specjalnie przygotowanego żądania.
IBM WebSphere Application Server oraz Liberty są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi” w komponencie wtyczki serwera WWW. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwer aplikacji i wysyła spreparowane odpowiedzi do wtyczki.

