Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-48712
Wysokie

Podatność w bibliotece protobufjs przed wersjami 7.6.1 i 8.4.1 umożliwia wyczerpanie stosu JavaScript podczas konwersji zdekodowanych wiadomości protobuf na obiekty lub JSON. Problem wynika z braku limitu głębokości rekurencji przy przetwarzaniu zagnieżdżonych wartości Any.

CVE-2026-42127
Wysokie

Publiczny endpoint zapytań dashboardu nie ogranicza rozmiaru treści żądania przed przetworzeniem, co pozwala nieuwierzytelnionym atakującym na wywołanie nadmiernej alokacji pamięci poprzez wysyłanie dowolnie dużych ładunków JSON. Może to prowadzić do odmowy usługi przez wyczerpanie pamięci.

CVE-2026-9072
Wysokie

IBM WebSphere Application Server oraz IBM WebSphere Application Server Liberty, korzystające z Intelligent Management z komponentem WebSphere WebServer Plug-in, są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi”. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwery zaplecza i wysyła spreparowane odpowiedzi do wtyczki.

CVE-2026-9071
Wysokie

IBM WebSphere Application Server w wersjach 9.0, 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na atak typu denial of service, spowodowany przez wysłanie specjalnie przygotowanego żądania. Zdalny atakujący może wykorzystać tę podatność, aby spowodować zużycie zasobów pamięci przez serwer.

CVE-2026-9006
Wysokie

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na atak typu server-side request forgery (SSRF) w przypadku skonfigurowanego Ajax Proxy. Może to umożliwić atakującemu wysyłanie nieautoryzowanych żądań z systemu, co prowadzi do obejścia zabezpieczeń lub ujawnienia informacji.

CVE-2026-8858
Wysokie

IBM WebSphere Application Server oraz Liberty są podatne na zdalne wykonanie kodu i ataki typu „odmowa usługi” w komponencie wtyczki serwera WWW. Luka może zostać wykorzystana, gdy atakujący podszywa się pod serwer aplikacji i wysyła spreparowane odpowiedzi do wtyczki.

CVE-2026-8646
Wysokie

IBM WebSphere Application Server w wersjach 9.0 i 8.5 oraz IBM WebSphere Application Server - Liberty w wersjach od 17.0.0.3 do 26.0.0.6 są podatne na smuggling żądań HTTP. Zdalny atakujący może przesłać specjalnie przygotowane żądanie do serwera aplikacji, co pozwala na obejście zabezpieczeń, fałszowanie tożsamości, eskalację uprawnień oraz ujawnienie wrażliwych informacji.

CVE-2026-56104
Wysokie

Chainlit w wersjach przed 2.10.1 zawiera podatność na przejęcie sesji, która pozwala nieautoryzowanym atakującym na przywrócenie i dziedziczenie sesji uwierzytelnionych użytkowników poprzez przedstawienie ważnego sessionId podczas przywracania sesji WebSocket bez weryfikacji własności.

CVE-2026-54268
Wysokie

W Angularze (pakiety @angular/common) przed wersjami 22.0.1, 21.2.17 i 20.3.25 występuje podatność na atak DoS. Funkcja formatDate oraz DatePipe nie ograniczają długości parametru formatu, co pozwala na przeciążenie procesora i pamięci przez złośliwie długi łańcuch formatujący.

CVE-2026-50178
Wysokie

Rozszerzenie Angular Language Service dla VS Code zawiera podatność, w której narzędzie do renderowania podpowiedzi jest skonfigurowane jako zaufane (isTrusted: true), co pozwala na osadzanie aktywnych linków command: URI. Serwer językowy nie oczyszcza odpowiednio danych z JSDoc, przez co atakujący może wstrzyknąć złośliwe polecenie do podpowiedzi. Gdy programista najedzie kursorem na symbol i kliknie link, polecenie zostanie wykonane na jego maszynie.

CVE-2026-49241
Wysokie

Rozszerzenie Angular Language Service dla VS Code przed wersją 21.2.4 odczytuje ścieżkę do niestandardowego TypeScript SDK z pliku .vscode/settings.json bez weryfikacji zaufania do obszaru roboczego. Następnie przekazuje tę ścieżkę jako argument do procesu serwera językowego, który dynamicznie importuje bibliotekę tsserverlibrary.js z lokalizacji wskazanej przez atakującego. Umożliwia to wykonanie złośliwego kodu po otwarciu spreparowanego repozytorium.

CVE-2026-41049
Wysokie

Podatność w usłudze dbus qSnapper przed wersją 1.3.3 powoduje nieprawidłowe buforowanie uwierzytelniania między różnymi użytkownikami. Lokalny atakujący może wykorzystać funkcje dbus po uwierzytelnieniu uprzywilejowanego użytkownika.

CVE-2026-41048
Wysokie

W qSnapper przed wersją 1.3.3 wykryto nieprawidłowe buforowanie uwierzytelniania między różnymi metodami polkit. Lokalny atakujący mógł wykorzystać funkcje takie jak 'przywróć z migawki', nawet jeśli miał tylko uprawnienia do 'usuń migawkę'.

CVE-2026-41046
Wysokie

Podatność typu path traversal w qSnapper przed wersją 1.3.3 umożliwia lokalnemu atakującemu użycie złośliwych plików konfiguracyjnych snappera poprzez parametr "configName". Może to prowadzić do odmowy usługi lub potencjalnej eskalacji uprawnień do roota.

CVE-2026-41045
Wysokie

Podatność typu TOCTOU (time-to-check-time-of-use) w mechanizmie uwierzytelniania polkit w qSnapper przed wersją 1.3.3 umożliwia lokalnemu atakującemu ominięcie uwierzytelniania i działanie z uprawnieniami roota.

CVE-2026-10845
Wysokie

IBM WebSphere Application Server w wersjach 8.5 i 9.0 może umożliwić zdalnemu atakującemu ominięcie uwierzytelniania i uzyskanie nieautoryzowanego dostępu do aplikacji JAX-WS.

CVE-2026-9029
Wysokie

Podatność w panelu Geomap w Grafanie umożliwia użytkownikowi z uprawnieniami edytora wstrzyknięcie złośliwego skryptu do pola atrybucji warstwy kafelków XYZ za pomocą zmiennej szablonu. Skrypt wykonuje się w przeglądarce każdego użytkownika przeglądającego zmodyfikowany dashboard (trwałe cross-site scripting).

CVE-2026-6653
Wysokie

W bibliotece libxml2 występuje podatność typu Use After Free w funkcji xmlParseInternalSubset, która pozwala zdalnemu atakującemu na wywołanie odmowy usługi poprzez złośliwie skonstruowane dane XML z niewłaściwym przetwarzaniem encji.

CVE-2026-56448
Wysokie

W AIL Framework przed wydaniem zawierającym commit 0041456af25da0cdea1c1c4624e46baff2731d8f występuje podatność na traversję ścieżek. Użytkownik AIL z odpowiednimi uprawnieniami może dostarczyć spreparowane identyfikatory obiektów, co pozwala na uzyskanie dostępu do plików spoza zamierzonych katalogów.

CVE-2026-56447
Wysokie

MISP pozwalał uwierzytelnionemu administratorowi na ustawienie konfiguracji Kafka_rdkafka_config na dowolną ścieżkę w systemie plików, co mogło prowadzić do wykonania dowolnego kodu z uprawnieniami procesu MISP.

PoprzedniaStrona 93 z 3355Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS