Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-56361
Niskie

W ImageMagick przed wersją 7.1.2-19 występuje błąd off-by-one w walidacji morfologii, umożliwiający odczyt poza granicami bufora sterty. Atakujący mogą wywołać przepełnienie bufora sterty poprzez podanie nieprawidłowych parametrów morfologii, co prowadzi do naruszeń dostępu do pamięci pojedynczego piksela.

CVE-2026-56356
Średnie

n8n zawiera podatność na trwałe ataki XSS w polu Custom CSS węzła Chat Trigger z powodu błędnej konfiguracji biblioteki sanitize-html. Uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy może wstrzyknąć JavaScript omijający sanityzację, co prowadzi do trwałego XSS na każdego użytkownika odwiedzającego publiczną stronę czatu.

CVE-2026-56350
Średnie

Podatność w n8n przed wersją 2.8.0 umożliwia uwierzytelnionym użytkownikom SSO ominięcie wymuszenia SSO przez API. Atakujący mogą utworzyć lokalne dane logowania, aby uwierzytelniać się bezpośrednio, z pominięciem polityk SSO i wieloskładnikowego uwierzytelniania narzuconego przez dostawcę tożsamości.

CVE-2026-56334
Średnie

W Capgo przed wersją 12.128.2 brakuje polityki bezpieczeństwa na poziomie wierszy (RLS) dla tabeli build_requests, co uniemożliwia aktualizację statusu buildera przez klucze API i anonimowy dostęp. Atakujący mogą wykorzystać ten brak, aby uniemożliwić trwałe zapisywanie statusu i szczegółów błędów, pozostawiając wiersze build_requests w stanie oczekiwania z pustymi wartościami last_error.

CVE-2026-56333
Średnie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie walidacji po stronie serwera w ustawieniach bezpieczeństwa organizacji. Uwierzytelnieni administratorzy organizacji mogą utrwalić nieprawidłowy stan polityki bezpieczeństwa, bezpośrednio aktualizując tabelę public.orgs z przeglądarki.

CVE-2026-56331
Średnie

Podatność w Capgo przed wersją 12.128.2 wynika z nieprawidłowej obsługi błędów w punkcie końcowym /private/accept_invitation. Zamiast bezpiecznych błędów 4xx, serwer zwraca kod 500, gdy magic_invite_string jest nieprawidłowy, co pozwala atakującym na ujawnienie szczegółów wewnętrznego przetwarzania.

CVE-2026-56328
Średnie

Podatność w Capgo przed wersją 12.128.2 pozwala na współistnienie wielu publicznych kanałów dla tej samej aplikacji i platformy, podczas gdy niezidentyfikowane żądania /updates bez domyślnego kanału niejawnie rozstrzygają się na pojedynczy ukryty kanał. Autoryzowany menedżer aplikacji lub kanału może stworzyć niejednoznaczny domyślny stan aktualizacji i po cichu wpływać na to, który pakiet otrzymują nienazwani klienci, naruszając integralność i przewidywalność procesu wydawania.

CVE-2026-56327
Średnie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym enumerację istniejących organizacji poprzez funkcję RPC public.invite_user_to_org. Atakujący mogą wykorzystać klucz API do wywołania funkcji SECURITY DEFINER i na podstawie różnych odpowiedzi błędów (NO_ORG vs NO_RIGHTS) stwierdzić, czy dany identyfikator organizacji istnieje.

CVE-2026-56320
Wysokie

Podatność w Capgo przed wersją 12.128.2 w punkcie końcowym POST /private/create_device pozwala uwierzytelnionemu atakującemu na tworzenie rekordów urządzeń dla aplikacji przy użyciu identyfikatora organizacji innego niż właściciel aplikacji. Brak walidacji parametru org_id powoduje obejście granicy autoryzacji między organizacjami.

CVE-2026-56318
Średnie

Podatność w Capgo przed wersją 12.128.2 ujawnia informacje poprzez endpoint /private/validate_password_compliance, który zwraca różne odpowiedzi błędów dla nieprawidłowych, nieistniejących i istniejących identyfikatorów organizacji. Nieuwierzytelnieni atakujący mogą wyliczać prawidłowe UUID organizacji, obserwując kody statusu i komunikaty błędów.

CVE-2026-56300
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia nieuwierzytelnionym atakującym wykorzystanie funkcji RPC get_user_id i get_org_perm_for_apikey do sprawdzania poprawności kluczy API oraz ujawniania identyfikatorów UUID użytkowników. Dzięki publicznemu kluczowi API atakujący mogą weryfikować wyciekłe klucze, enumerować użytkowników i aplikacje oraz określać poziomy uprawnień.

CVE-2026-56286
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie uwierzytelniania w punkcie końcowym usuwania konta, pozwalając na usunięcie konta bez ponownego uwierzytelnienia hasłem lub dodatkowej weryfikacji. Atakujący mogą wykorzystać przejęcie sesji, ataki CSRF lub manipulację parametrami, co prowadzi do nieautoryzowanego usunięcia konta, utraty danych i odmowy usługi.

CVE-2026-56278
Krytyczne

Flowise przed wersją 3.1.0 (dotknięte wersje 3.0.13 i wcześniejsze) używa słabego, zakodowanego na stałe domyślnego sekretu ('flowise') dla middleware express-session, gdy zmienna środowiskowa EXPRESS_SESSION_SECRET nie jest ustawiona. Ponieważ ten domyślny sekret jest publicznie widoczny w kodzie źródłowym, atakujący może sfałszować ważne podpisane ciasteczka sesji, aby podszyć się pod dowolnego użytkownika i ominąć uwierzytelnianie.

CVE-2026-56277
Średnie

Podatność w Flowise przed wersją 3.1.2 polega na ustawieniu nagłówka Access-Control-Allow-Origin na stałą wartość wildcard (*) w punkcie końcowym generowania mowy (TTS). Powoduje to obejście skonfigurowanej polityki CORS serwera i umożliwia dowolnej stronie internetowej wykonywanie żądań cross-origin z wykorzystaniem zapisanych poświadczeń.

CVE-2026-56264
Wysokie

Crawl4AI przed wersją 0.8.7 zawiera podatność umożliwiającą wykonanie dowolnego kodu JavaScript przez endpoint /execute_js w serwerze API Docker. Atakujący może przesłać złośliwy skrypt, który zostanie wykonany w kontekście przeglądarki serwera z wyłączonymi zabezpieczeniami sieciowymi.

CVE-2026-56249
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia ominięcie autoryzacji w punkcie końcowym tworzenia kanałów. Uwierzytelnieni użytkownicy mogą nadpisywać istniejące kanały, ponownie wykorzystując ich nazwy.

CVE-2026-56247
Wysokie

Podatność w Capgo przed wersją 12.128.2 umożliwia administratorom organizacji przypisywanie ról RBAC o zasięgu organizacyjnym na poziomie aplikacji bez walidacji zgodności zakresu, w tym dla oczekujących zaproszeń. Atakujący mogą wstępnie utworzyć nieprawidłowe powiązania o wysokich uprawnieniach, które przetrwają akceptację zaproszenia, umożliwiając użytkownikom o niskich uprawnieniach wykonywanie nieautoryzowanych uprzywilejowanych działań w aplikacji.

CVE-2026-56233
Wysokie

Capgo przed wersją 12.128.2 zawiera podatność na przechodzenie ścieżek w proxy przesyłania plików, która umożliwia uwierzytelnionym użytkownikom z uprawnieniami do budowania ominięcie ograniczeń przesyłania. Atakujący mogą dołączać sekwencje przechodzenia do ścieżki przesyłania, które są normalizowane przez parser URL WHATWG, co umożliwia dostęp do wewnętrznych punktów końcowych administracyjnych z uprzywilejowanym nagłówkiem BUILDER_API_KEY i prowadzi do eskalacji uprawnień po stronie serwera.

CVE-2026-56230
Wysokie

Podatność w Capgo przed wersją 12.128.2 polega na nieprawidłowej autoryzacji na poziomie obiektu w funkcji middlewareKey(). Funkcja ta akceptuje nagłówek x-limited-key-id kontrolowany przez klienta bez weryfikacji własności, co pozwala uwierzytelnionym użytkownikom na przejmowanie kluczy ograniczonych z innych dzierżawców. Atakujący może podać identyfikator klucza innego dzierżawcy, aby ominąć kontrole autoryzacji i uzyskać dostęp do nieautoryzowanych zasobów między dzierżawcami w wielu punktach końcowych API.

CVE-2026-56224
Średnie

Podatność w Capgo console.capgo.app/login przed wersją 12.128.2 polega na akceptowaniu tokenów access_token i refresh_token w parametrach zapytania URL, co umożliwia automatyczne uwierzytelnianie użytkowników bez ich potwierdzenia. Atakujący mogą tworzyć złośliwe linki, które zmuszają ofiary do korzystania z sesji kontrolowanych przez atakującego, narażając tokeny na ujawnienie w historii przeglądarki i logach.

PoprzedniaStrona 70 z 4526Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS