Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST — w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.07)

CVE-2026-50254
Wysokie

Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać pojedyncze spreparowane żądanie połączenia, powodując wyciek pamięci. W przypadku storescp w domyślnym trybie jednoprocesowym pamięć szybko rośnie, a usługa zostaje ostatecznie zabita, po czym przestaje akceptować połączenia do czasu ręcznego restartu przez operatora.

CVE-2026-50003
Krytyczne

Złośliwy lub skompromitowany serwer może sprawić, że klient DCMTK korzystający z trybu przechowywania C-GET z zachowaniem bitów zapisze pliki poza wybranym katalogiem wyjściowym, używając zarówno względnych (../) jak i bezwzględnych ścieżek.

CVE-2026-37106
Krytyczne

W DokuWiki w wersji 2025-05-14b 'Librarian' 56.2 istnieje możliwość zdalnego utworzenia konta przez funkcję rejestracji w pliku inc/auth.php. Producent kwestionuje to jako podatność, ponieważ jest to zamierzone działanie przy włączonej samorejestracji (funkcja nie domyślna).

CVE-2026-35505
Wysokie

Nieuwierzytelniony zdalny atakujący może wielokrotnie wysyłać spreparowane żądania połączenia, powodując wyciek pamięci. W środowiskach jednoprocesowych pamięć rośnie aż do zabicia usługi, a port przestaje odpowiadać do czasu restartu.

CVE-2026-11541
Wysokie

IBM WebSphere Application Server 9.0, 8.5 oraz Liberty 17.0.0.3 do 26.0.0.6 są podatne na atak polegający na przemycaniu żądań HTTP. Luka umożliwia atakującemu manipulację nagłówkami HTTP w celu ominięcia zabezpieczeń.

CVE-2026-10585
Średnie

W GitHub Enterprise Server wykryto podatność na trwały atak XSS, umożliwiającą uwierzytelnionemu atakującemu wykonanie dowolnego kodu JavaScript w przeglądarce innego użytkownika poprzez wstrzyknięcie złośliwego ładunku w tytuł dyskusji w kategorii Q&A. Komponent AnsweredQuestionStructuredDataComponent nie odpowiednio kodował tytułów dyskusji przed umieszczeniem ich w bloku <script type="application/ld+json">, co pozwalało na wyrwanie się z kontekstu skryptu. Atak został eskalowany do pełnego XSS dzięki wykorzystaniu wsparcia JSONP w REST API do obejścia Content Security Policy.

CVE-2026-9132
Średnie

W GitHub Enterprise Server wykryto brak autoryzacji w punkcie końcowym podsumowania różnic opisu pull requesta Copilota. Uwierzytelniony użytkownik mógł odczytać kod źródłowy z prywatnych repozytoriów, do których nie miał dostępu, poprzez podanie zakresu porównania między repozytoriami. Luka dotyczy wszystkich wersji przed 3.21 i została naprawiona w wersjach 3.17.17, 3.18.11, 3.19.8 oraz 3.20.4.

CVE-2026-9106
Średnie

Podatność w GitHub Enterprise Server umożliwiała aplikacji OAuth uzyskanie nieautoryzowanego dostępu do zarządzania runnerami organizacji. Problem wynikał z braku wyświetlania zakresu manage_runners:org na ekranie zgody autoryzacji, co mogło zostać wykorzystane przez atakującego do skłonienia użytkownika do autoryzacji złośliwej aplikacji.

CVE-2026-44628
Wysokie

Podatność umożliwia nieuwierzytelnionemu atakującemu spowodowanie awarii serwera listy zadań poprzez wysłanie pojedynczego spreparowanego zapytania. Warunkiem jest istnienie poprawnego tytułu AE wywołanego, katalogu przechowywania, oczekiwanego pliku blokady oraz co najmniej jednego pasującego rekordu listy zadań.

CVE-2026-13207
Wysokie

FUXA w wersjach 1.3.1 i wcześniejszych zawiera podatność na ominięcie uwierzytelniania poprzez normalizację ścieżek z segmentami kropkowymi w REST API. Router API nie normalizuje sekwencji segmentów kropek przed zastosowaniem middleware uwierzytelniającego, co pozwala nieuwierzytelnionym żądaniom na dostęp do chronionych punktów końcowych poprzez poprzedzenie ścieżek segmentami kropkowymi, takimi jak /api/./users, /api/./roles i /api/project/../users. Żądania te omijają kontrole uwierzytelniania i zwracają wrażliwe dane użytkowników i ról bez poświadczeń.

CVE-2026-11594
Wysokie

IBM WebSphere Application Server 9.0 i 8.5 zawiera podatność na atak typu cross-site scripting (XSS) w konsoli administracyjnej. Umożliwia ona atakującemu wstrzyknięcie złośliwego skryptu do interfejsu zarządzania serwerem.

CVE-2026-10562
Średnie

W urządzeniu Archer AX20 V2 wykryto podatność na nieuwierzytelnione przekierowanie URL spowodowane nieprawidłową walidacją danych wejściowych URL w interfejsie webowym. Nieuwierzytelniony atakujący może tworzyć adresy URL zawierające zakodowane sekwencje przejścia ścieżki, co po przetworzeniu przez wbudowany serwer WWW może skutkować odpowiedziami HTTP 3xx przekierowującymi do zewnętrznych domen kontrolowanych przez atakującego.

CVE-2025-36359
Wysokie

Podatność w IBM DevOps Automation 1.0.1 i IBM DevOps Loop 1.0.2 polega na braku unieważniania identyfikatorów sesji po ich wygaśnięciu. Umożliwia to uwierzytelnionemu użytkownikowi podszywanie się pod innego użytkownika systemu.

CVE-2025-36336
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 przesyła dane w postaci niezaszyfrowanego tekstu, co umożliwia atakującemu przechwycenie wrażliwych informacji za pomocą ataku typu man-in-the-middle.

CVE-2025-36333
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi wykonanie nieautoryzowanych działań z powodu nieprawidłowego egzekwowania przepływu pracy.

CVE-2025-36328
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez szczegółowe komunikaty błędów zwracane w przeglądarce. Informacje te mogą zostać wykorzystane w dalszych atakach na system.

CVE-2025-36327
Średnie

Podatność w IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 umożliwia uwierzytelnionemu użytkownikowi ominięcie kontroli bezpieczeństwa i wykonanie nieautoryzowanych działań z powodu egzekwowania zabezpieczeń po stronie klienta zamiast serwera.

CVE-2025-36324
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na fałszerstwo żądań po stronie serwera (SSRF). Uwierzytelniony atakujący może wysyłać nieautoryzowane żądania z systemu, co może prowadzić do skanowania sieci lub ułatwiać inne ataki.

CVE-2025-36323
Średnie

Podatność XSS w IBM watsonx.data intelligence umożliwia uwierzytelnionemu użytkownikowi osadzenie dowolnego kodu JavaScript w interfejsie webowym, co może prowadzić do ujawnienia poświadczeń w zaufanej sesji.

CVE-2025-36321
Średnie

IBM watsonx.data intelligence w wersjach 5.2.0, 5.2.1, 5.2.2 i 5.3.0 jest podatny na wstrzykiwanie kodu HTML. Zdalny atakujący może wstrzyknąć złośliwy kod HTML, który po wyświetleniu zostanie wykonany w przeglądarce ofiary w kontekście bezpieczeństwa hostowanej witryny.

PoprzedniaStrona 78 z 4495Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS