Katalog podatności CVE
Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim
Katalog CISA KEV zaktualizowany: (v2026.07.07)
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 przesyła dane w postaci niezaszyfrowanego tekstu, co umożliwia atakującemu przechwycenie wrażliwych informacji za pomocą ataku typu man-in-the-middle.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wykonanie nieautoryzowanych działań z powodu nieprawidłowego egzekwowania przepływu pracy.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez szczegółowe komunikaty błędów zwracane w przeglądarce. Informacje te mogą zostać wykorzystane w dalszych atakach na system.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi ominięcie kontroli bezpieczeństwa i wykonanie nieautoryzowanych działań z powodu egzekwowania zabezpieczeń po stronie klienta zamiast serwera.
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na fałszerstwo żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może wysyłać nieautoryzowane żądania z systemu, co może prowadzić do skanowania sieci lub ułatwiać inne ataki.
Podatność XSS w IBM watsonx.data intelligence umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.
IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na wstrzykiwanie kodu HTML. Zdalny atakujący może wstrzyknąć złośliwy kod HTML, który po wyświetleniu zostanie wykonany w przeglądarce ofiary w kontekście bezpieczeństwa hostowanej witryny.
Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.
Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wywołanie tymczasowej odmowy usługi poprzez specjalnie spreparowane żądanie HTTP. Problem wynika z nieprawidłowego przydziału ograniczeń zasobów.
IBM watsonx.data intelligence w wersjach 5.2.2, 5.3.0, 5.3.1 oraz 5.3.1 do patch-1 przesyła dane w postaci niezaszyfrowanego tekstu. Umożliwia to atakującemu przechwycenie wrażliwych informacji za pomocą technik man-in-the-middle.
IBM WebSphere Extreme Scale w wersjach 8.6.1.0 do 8.6.1.6 zawiera podatność na atak DoS spowodowaną nieprawidłową walidacją w dekoderze XDF. Aplikacja przetwarza głęboko zagnieżdżone wiadomości Protocol Buffers oraz prefiksy długości kontrolowane przez atakującego bez wystarczającego sprawdzania granic, co może prowadzić do przepełnienia stosu lub pamięci.
IBM App Connect Enterprise w wersjach 13.0.1.0–13.0.7.2 oraz 12.0.1.0–12.0.12.26, a także IBM Integration Bus for z/OS 10.1.0.0–10.1.0.7, zawiera podatność na wstrzykiwanie SQL. Zdalny atakujący może poprzez socjotechnikę nakłonić użytkownika do przypadkowego utworzenia plików, o których ten może nie wiedzieć.
IBM WebSphere Extreme Scale 8.6.1.0 do 8.6.1.6 zawiera około 50 wygenerowanych klas stubów CORBA w pliku ogclient.jar, które podczas deserializacji Java wywołują ORB.string_to_object() na kontrolowanym przez atakującego ciągu IOR. To przekształca każdy niefiltrowany strumień ObjectInputStream w aplikacji WAS w wychodzące IIOP SSRF do wybranego przez atakującego hosta.
IBM UrbanCode Deploy i IBM DevOps Deploy przechowują potencjalnie wrażliwe informacje w plikach dziennika, które mogą być odczytane przez lokalnego użytkownika. Podatność dotyczy wersji 7.2 do 7.2.3.23, 7.3 do 7.3.2.18 oraz 8.0 do 8.0.1.13, 8.1 do 8.1.2.6 i 8.2 do 8.2.1.0.
IBM UrbanCode Deploy i IBM DevOps Deploy w podatnych wersjach mogą ujawniać wrażliwe konfiguracje i sekrety uwierzytelnionym użytkownikom w odpowiedziach API, co może być wykorzystane w dalszych atakach na system.
IBM DevOps Deploy (UCD) w wersjach 8.1 do 8.1.2.6 oraz 8.2 do 8.2.1.0 nieprawidłowo konfiguruje mechanizm CORS, co pozwala atakującemu na wykonywanie uprzywilejowanych działań i odczyt wrażliwych informacji, ponieważ domena nie jest ograniczona do zaufanych domen.
IBM Db2 w wersjach 11.5.0-11.5.9 oraz 12.1.0-12.1.4 dla systemów Linux, UNIX i Windows (w tym Db2 Connect Server) zawiera podatność na atak DoS. Uwierzytelniony użytkownik może wykorzystać nieprawidłową neutralizację specjalnych elementów w logice zapytań danych dla kolumn pochodzących z XMLTable, powodując odmowę usługi.
IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność, która może umożliwić zdalnemu atakującemu uzyskanie wrażliwych informacji ze zintegrowanego systemu pomocy konsoli administracyjnej.
Podatność w IBM Db2 umożliwia uwierzytelnionemu użytkownikowi odczyt wrażliwych informacji z tabel monitorowania i zdarzeń. Dotyczy wersji 11.5.0-11.5.9 oraz 12.1.0-12.1.4 na systemach Linux, UNIX i Windows.
W warstwie adaptacyjnej ISO kontrolera Bluetooth Zephyr (isoal.c) brakuje walidacji długości segmentu startowego ramki PDU ISO. Atakujący przez Bluetooth może wysłać spreparowany pakiet, powodując niedomiar liczby całkowitej i odczyt poza zakresem bufora.

