Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-13207
Wysokie

FUXA w wersjach 1.3.1 i wcześniejszych zawiera podatność na ominięcie uwierzytelniania poprzez normalizację ścieżek z segmentami kropkowymi w REST API. Router API nie normalizuje sekwencji segmentów kropek przed zastosowaniem middleware uwierzytelniającego, co pozwala nieuwierzytelnionym żądaniom na dostęp do chronionych punktów końcowych poprzez poprzedzenie ścieżek segmentami kropkowymi, takimi jak /api/./users, /api/./roles i /api/project/../users. Żądania te omijają kontrole uwierzytelniania i zwracają wrażliwe dane użytkowników i ról bez poświadczeń.

CVE-2026-11594
Wysokie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na atak typu cross-site scripting (XSS) w konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do interfejsu zarządzania serwerem.

CVE-2026-10562
Średnie

W urządzeniu Archer AX20 V2 wykryto podatność na nieuwierzytelnione przekierowanie URL spowodowane nieprawidłową walidacją danych wejściowych URL w interfejsie webowym. Nieuwierzytelniony atakujący może tworzyć adresy URL zawierające zakodowane sekwencje przejścia ścieżki, co po przetworzeniu przez wbudowany serwer WWW może skutkować odpowiedziami HTTP 3xx przekierowującymi do zewnętrznych domen kontrolowanych przez atakującego.

CVE-2025-36359
Wysokie

Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszywanie się pod innego użytkownika systemu.

CVE-2025-36336
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 przesyła dane w postaci niezaszyfrowanego tekstu, co umożliwia atakującemu przechwycenie wrażliwych informacji za pomocą ataku typu man-in-the-middle.

CVE-2025-36333
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wykonanie nieautoryzowanych działań z powodu nieprawidłowego egzekwowania przepływu pracy.

CVE-2025-36328
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez szczegółowe komunikaty błędów zwracane w przeglądarce. Informacje te mogą zostać wykorzystane w dalszych atakach na system.

CVE-2025-36327
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi ominięcie kontroli bezpieczeństwa i wykonanie nieautoryzowanych działań z powodu egzekwowania zabezpieczeń po stronie klienta zamiast serwera.

CVE-2025-36324
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na fałszerstwo żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może wysyłać nieautoryzowane żądania z systemu, co może prowadzić do skanowania sieci lub ułatwiać inne ataki.

CVE-2025-36323
Średnie

Podatność XSS w IBM watsonx.data intelligence umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

CVE-2025-36321
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na wstrzykiwanie kodu HTML. Zdalny atakujący może wstrzyknąć złośliwy kod HTML, który po wyświetleniu zostanie wykonany w przeglądarce ofiary w kontekście bezpieczeństwa hostowanej witryny.

CVE-2025-36320
Średnie

Podatność na trwałe skrypty między witrynami (stored XSS) w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0. Umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

CVE-2025-36319
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wywołanie tymczasowej odmowy usługi poprzez specjalnie spreparowane żądanie HTTP. Problem wynika z nieprawidłowego przydziału ograniczeń zasobów.

CVE-2025-12530
Średnie

IBM watsonx.data intelligence w wersjach 5.2.2, 5.3.0, 5.3.1 oraz 5.3.1 do patch-1 przesyła dane w postaci niezaszyfrowanego tekstu. Umożliwia to atakującemu przechwycenie wrażliwych informacji za pomocą technik man-in-the-middle.

CVE-2026-9836
Niskie

IBM InfoSphere Information Server w wersjach od 11.7.0.0 do 11.7.1.6 zawiera podatność na ujawnienie informacji. Atakujący może wykorzystać tę lukę do uzyskania dostępu do wrażliwych danych.

CVE-2026-9002
Średnie

IBM WebSphere Extreme Scale w wersjach 8.6.1.0 do 8.6.1.6 zawiera podatność na atak DoS spowodowaną nieprawidłową walidacją w dekoderze XDF. Aplikacja przetwarza głęboko zagnieżdżone wiadomości Protocol Buffers oraz prefiksy długości kontrolowane przez atakującego bez wystarczającego sprawdzania granic, co może prowadzić do przepełnienia stosu lub pamięci.

CVE-2026-7874
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą ujawnienie wszystkich przechowywanych poświadczeń. Problem wynika z użycia słabego i odwracalnego mechanizmu wyprowadzania klucza do szyfrowania danych w spoczynku.

CVE-2026-7873
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą uwierzytelnionym atakującym wykonanie dowolnych poleceń systemu operacyjnego oraz odczyt wrażliwych plików, w tym poświadczeń. Prowadzi to do całkowitego przejęcia systemu i umożliwia ruch boczny w sieci.

CVE-2026-7871
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą użytkownikom z dostępem do Redis wykonanie dowolnego kodu z pełnymi uprawnieniami aplikacji. Luka ta zagraża poufności wszystkich sekretów, danych oraz integralności systemu.

CVE-2026-7803
Krytyczne

IBM Langflow OSS w wersjach od 1.0.0 do 1.10.0 zawiera podatność umożliwiającą zdalne wykonanie dowolnego kodu. Problem wynika z nieprawidłowej walidacji węzłów przepływu, które mają brakujące lub puste pola typu komponentu.

PoprzedniaStrona 72 z 4492Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS