Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.10)

CVE-2026-54286
Średnie

W frameworku Hono przed wersją 4.12.25 na systemach Windows odkryto podatność polegającą na dekodowaniu zakodowanego backslasha (%5C) w ścieżce żądania. Powoduje to, że serwer traktuje go jako separator ścieżki, co umożliwia atakującemu odczytanie plików statycznych chronionych przez middleware.

CVE-2026-54285
Średnie

W wersjach przed 2.8.0 biblioteki opentelemetry-js, metoda W3CBaggagePropagator.extract() w @opentelemetry/core nie wprowadza ograniczeń rozmiaru podczas parsowania nagłówków HTTP. Specyfikacja W3C Baggage zaleca maksymalny rozmiar 8,192 bajtów i 180 wpisów, co nie było egzekwowane w przypadku nagłówków przychodzących.

CVE-2026-54276
Średnie

W bibliotece AIOHTTP przed wersją 3.14.1 wykryto podatność, w której DigestAuthMiddleware może wysłać odpowiedź uwierzytelniającą po przekierowaniu między domenami. Atak wymaga podatności na otwarte przekierowanie w domenie docelowej, a atakujący może przechwycić jedynie skrót uwierzytelniający, co umożliwia kradzież poświadczeń tylko przy słabej kryptografii lub ponownym użyciu haseł.

CVE-2026-54270
Średnie

Wersje protobufjs od 8.2.0 do 8.4.2 nie miały opcji do odrzucania nieznanych pól podczas dekodowania, co mogło prowadzić do nadmiernego zużycia pamięci przez dekodowane wiadomości. W wersji 8.5.0 dodano opcje umożliwiające wyłączenie zatrzymywania nieznanych pól, a w wersji 8.6.2 domyślnie odrzucane są nieznane pola.

CVE-2026-54269
Średnie

W wersjach przed 8.6.0 i 7.6.3, protobufjs akceptował pewne nazwy pochodzące ze schematu, które mogły kolidować z właściwościami używanymi przez pomocników runtime protobufjs. To mogło prowadzić do wyjątków deterministycznych lub rekurencyjnych wywołań w różnych operacjach związanych z dekodowaniem i serializacją.

CVE-2026-53632
Średnie

Pakiet launch-editor umożliwia użytkownikom otwieranie plików z numerami linii w edytorze z Node.js. W wersjach przed 2.14.1, pakiet ten uzyskuje dostęp do dowolnych ścieżek, w tym do ścieżek UNC w systemie Windows, co prowadzi do wycieku hasła NTLMv2 użytkownika.

CVE-2026-50556
Średnie

W Angularze wykryto podatność na atak XSS w komponencie @angular/platform-server podczas renderowania po stronie serwera (SSR). Problem występuje, gdy dynamiczna treść jest osadzana w elemencie <noscript> za pomocą wiązań szablonu, a biblioteka domino niepoprawnie serializuje znacznik zamykający </noscript>, co pozwala na wstrzyknięcie złośliwego skryptu.

CVE-2026-50555
Średnie

W Angularze wykryto podatność na Cross-Site Scripting (XSS) w zależności DOM emulacji @angular/platform-server (domino) podczas serializacji treści elementów raw-text, takich jak <script>, <style> i <iframe>. Błąd w obliczeniach indeksów Unicode powoduje, że dynamiczny tekst zawierający znaki astralne (np. emotikony) przed znacznikiem zamykającym nie jest poprawnie escapowany, co umożliwia wstrzyknięcie kodu JavaScript. Luka została załatana w wersjach 22.0.0-rc.2, 21.2.16, 20.3.24 i 19.2.25.

CVE-2026-50184
Średnie

Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych przez Service Worker Angulara usuwane są jawne ustawienia bezpieczeństwa (credentials i cache mode). W efekcie przeglądarka wysyła aktywne dane uwierzytelniające (np. ciasteczka) tam, gdzie programista nakazał je pominąć, a prywatne zasoby są buforowane w lokalnej pamięci podręcznej.

CVE-2026-50171
Średnie

W Angularze w pakiecie @angular/common wykryto podatność na odmowę usługi (DoS). Funkcja formatNumber, używana również przez DecimalPipe, PercentPipe i CurrencyPipe, nie waliduje poprawnie górnych granic parametru digitsInfo, co pozwala na przekazanie złośliwie spreparowanego ciągu znaków z bardzo dużymi wartościami cyfr ułamkowych. Powoduje to nieskończoną pętlę w funkcji roundNumber, prowadzącą do przeciążenia systemu.

CVE-2026-50169
Średnie

Podatność w pakiecie @angular/service-worker powoduje, że podczas rekonstrukcji żądań sieciowych dla dopasowanych zasobów usługa Service Worker usuwa ścisłą politykę przekierowań (np. redirect: 'error'), zastępując ją domyślnym zachowaniem przeglądarki 'follow'. Może to prowadzić do nieautoryzowanego śledzenia przekierowań HTTP 3xx, co stwarza ryzyko wycieku ciasteczek, poświadczeń lub danych chronionych sesją.

CVE-2026-46417
Średnie

W Angularze przed wersjami 22.0.0-next.12, 21.2.13, 20.3.21 i 19.2.22 wykryto podatność SSRF w module @angular/platform-server. Problem polega na tym, że silnik renderowania po stronie serwera (SSR) może zostać oszukany przez przekazanie absolutnego URL-a (np. http://evil.com), co pozwala atakującemu przejąć kontrolę nad hostem i przekierować żądania HttpClient na zewnętrzny serwer.

CVE-2026-11994
Średnie

Akaunting w wersji 3.1.21 zawiera podatność na uwierzytelnione przechowywane ataki typu Cross-Site Scripting w procesie zarządzania raportami. Użytkownik z uprawnieniami do tworzenia lub aktualizacji raportów może przechowywać dowolny kod HTML/JavaScript w polu opisu raportu.

CVE-2026-9320
Średnie

IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany wysłaniem specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.

CVE-2026-8934
Średnie

W podatności CVE-2026-8934 występuje brak autoryzacji w operacji prywatnego API GraphQL w sekcji Google App Engine konsoli chmurowej, co pozwala nieautoryzowanemu zdalnemu atakującemu na wyciek wrażliwych logów żądań App Engine z innych projektów za pomocą specjalnie przygotowanego żądania.

CVE-2026-8636
Średnie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 umożliwiają atakującemu odczytanie haseł użytkowników i kluczy kryptograficznych z pamięci. Atakujący może użyć tych samych kluczy do odszyfrowania haseł, uzyskać dostęp do aplikacji i dostęp do wrażliwych danych w bazie danych.

CVE-2026-8059
Średnie

IBM Datacap 9.1.7, 9.1.8 i 9.1.9 oraz IBM Datacap Navigator 9.1.7, 9.1.8 i 9.1.9 są podatne na atak typu cross-site scripting (XSS). Niezautoryzowany atakujący może osadzić dowolny kod JavaScript w interfejsie webowym, zmieniając zamierzoną funkcjonalność i potencjalnie prowadząc do ujawnienia danych uwierzytelniających w ramach zaufanej sesji.

CVE-2026-7253
Średnie

Podatność SSRF w IBM Watson Speech Services Cartridge umożliwia uwierzytelnionemu atakującemu wysyłanie nieautoryzowanych żądań z systemu, co może prowadzić do skanowania sieci lub ułatwienia innych ataków. Problem dotyczy komponentu Sterling File Gateway używanego w środowiskach uruchomieniowych mowy.

CVE-2026-54267
Średnie

Podatność DOM Clobbering w Angularze umożliwia atakującemu podmianę kontenera stanu SSR (ng-state) poprzez wstrzyknięcie elementu HTML z tym samym identyfikatorem. Podczas hydracji klienta Angular odczytuje dane z fałszywego elementu, co może prowadzić do wykonania kodu lub kradzieży danych.

CVE-2026-54266
Średnie

Podatność w Angularze przed wersjami 22.0.1, 21.2.17 i 20.3.25 pozwala atakującemu na podmianę odpowiedzi HTTP w pamięci podręcznej TransferState podczas renderowania po stronie serwera (SSR). Słaby 32-bitowy hash DJB2 używany do generowania kluczy pamięci podręcznej umożliwia znalezienie kolizji, co prowadzi do nadpisania wrażliwych danych odpowiedzią z innego żądania.

PoprzedniaStrona 91 z 553Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS