Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-44790
Wysokie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł wstrzyknąć flagi CLI w operacji Push w węźle Git, co pozwalało atakującemu na odczyt dowolnych plików z serwera n8n, co potencjalnie prowadziło do pełnego kompromitacji.

CVE-2026-34916
Wysokie

Brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na wstrzyknięcie złośliwego kodu PHP do pola compiledlimitations w bazie danych, co skutkuje jego wykonaniem podczas dostarczania banerów.

CVE-2026-34914
Wysokie

W skrypcie zone-include.php w Revive Adserver w wersji 6.0.6 i wcześniejszych brakuje odpowiedniej sanitizacji danych wejściowych. Użytkownik o niskich uprawnieniach może wykorzystać parametr clientid do przeprowadzenia ataków typu blind SQL injection.

CVE-2026-33760
Wysokie

Langflow przed wersją 1.9.0 zawiera podatność IDOR/BOLA w routerze /api/v1/monitor. Siedem endpointów umożliwia odczyt, modyfikację, zmianę nazwy lub trwałe usunięcie danych innych użytkowników (wiadomości, sesji, artefaktów budowania, logów transakcji LLM) bez sprawdzania własności zasobu. Wystarczy podać identyfikator zasobu lub flow_id ofiary.

CVE-2026-13007
Wysokie

Tenable Identity Exposure zawiera wiele nieautoryzowanych punktów końcowych API pod /w/api/*, które ujawniają wrażliwe dane konfiguracyjne aplikacji, w tym hasła LDAP w postaci niezaszyfrowanej, konfigurację SAML, konta użytkowników oraz ustawienia katalogu. Odpowiedzi są serwowane z nagłówkami Cache-Control: public i bez Vary: Cookie, co pozwala na buforowanie i udostępnianie tych danych nieautoryzowanym użytkownikom.

CVE-2026-12958
Wysokie

Brak walidacji symlinków w serwerach językowych dla AWS może umożliwić zapis dowolnego pliku poza granicami zaufania przestrzeni roboczej. Może to nastąpić, gdy lokalny użytkownik otworzy przestrzeń roboczą z złośliwie skonstruowanym symlinkiem, który prowadzi do ścieżki pliku poza granicami zaufania.

CVE-2026-12957
Wysokie

Nieprawidłowe egzekwowanie granic zaufania w serwerach językowych dla AWS przed wersją 1.65.0 może umożliwić wykonanie dowolnego kodu. Otwierając złośliwie skonstruowane środowisko robocze, lokalny użytkownik może nieświadomie uruchomić polecenia zawarte w plikach konfiguracyjnych projektu.

CVE-2026-11940
Wysokie

Podatność w funkcji tarfile.extractall() z filtrem 'data' lub 'tar' pozwala na ominięcie zabezpieczeń przez spreparowane archiwum, w którym dowiązanie twarde odwołuje się do dowiązania symbolicznego znajdującego się głębiej w strukturze archiwum. Mechanizm walidacji sprawdza dowiązanie symboliczne w jego oryginalnej lokalizacji, ale odtwarza je w płytszej ścieżce dowiązania twardego, co umożliwia ucieczkę poza docelowy katalog.

CVE-2025-61028
Wysokie

W komponencie time_t_to_dt w oprogramowaniu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61027
Wysokie

Problem w komponencie t_set_push w openlink virtuoso-opensource w wersji 7.2.11 umożliwia atakującym spowodowanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61025
Wysokie

W składniku sslr_qst_get w openlink virtuoso-opensource w wersji 7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61023
Wysokie

W komponencie st_compare projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61022
Wysokie

Problem w komponencie sqlo_tb_col_preds w openlink virtuoso-opensource v7.2.11 umożliwia atakującym wywołanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61021
Wysokie

Problem w komponencie sqlo_natural_join_cond w openlink virtuoso-opensource v7.2.11 umożliwia atakującym spowodowanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61020
Wysokie

W komponencie sqlo_strip_in_join projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto podatność, która umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61019
Wysokie

W składniku sqlo_key_part_best w openlink virtuoso-opensource v7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61018
Wysokie

W komponencie sqlo_place_dt_set projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem umożliwiający atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2026-54314
Wysokie

n8n to platforma automatyzacji procesów, która przed wersją 2.24.0 miała problem z węzłem Kompresji, który pozwalał na dekompresję archiwów kontrolowanych przez atakującego bez ograniczeń na rozmiar dekompresowanego wyjścia. Atakujący mógł wysłać małe skompresowane archiwum do publicznego webhooka, co prowadziło do wyczerpania pamięci i zakończenia procesu n8n.

CVE-2026-54313
Wysokie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersją 2.24.0, uwierzytelniony użytkownik z dostępem do edycji procesów roboczych mógł dostarczyć złośliwą wartość filtra w operacji Znajdź i Zamień w węźle MongoDB, co prowadziło do niezamierzonego dopasowania i nadpisania dokumentów kontrolowanych przez atakującego.

CVE-2026-54312
Wysokie

n8n to platforma automatyzacji procesów, która przed wersją 2.24.0 pozwalała uwierzytelnionym użytkownikom z uprawnieniami do tworzenia lub modyfikowania workflow na globalne zanieczyszczenie prototypu poprzez węzeł Microsoft SQL, dostarczając spreparowaną wartość jako parametr tabeli.

PoprzedniaStrona 88 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS