Katalog podatności CVE

Przetłumaczone opisy podatności z bazy NVD NIST - w języku polskim

Katalog CISA KEV zaktualizowany: (v2026.07.13)

CVE-2026-49444
Wysokie

W n8n, platformie automatyzacji przepływów pracy typu open source, przed wersjami 1.123.48, 2.21.8 i 2.22.4, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania przepływów pracy zawierających węzeł kodu Python mógł opuścić sandbox i uzyskać zdalne wykonanie kodu na kontenerze wykonawczym zadań.

CVE-2026-45732
Wysokie

W n8n przed wersjami 1.123.43, 2.22.1 i 2.20.7, punkty końcowe do ponownego łączenia OAuth1 i OAuth2 autoryzowały dostęp przy użyciu uprawnienia credential:read zamiast credential:update. Uwierzytelniony użytkownik z dostępem tylko do odczytu do współdzielonego poświadczenia mógł zainicjować przepływ ponownego łączenia OAuth i nadpisać przechowywany materiał tokenu dla tego poświadczenia tokenami powiązanymi z zewnętrznym kontem, które kontroluje.

CVE-2026-44959
Wysokie

W Revive Adserver w wersji 6.0.6 i wcześniejszych występuje brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy. Użytkownik o niskich uprawnieniach może dodać nieoczekiwany parametr komponentu i wstrzyknąć złośliwy kod PHP do pola compiledlimitations, który zostanie wykonany podczas dostarczania banera.

CVE-2026-44790
Wysokie

n8n to platforma automatyzacji procesów roboczych typu open source. Przed wersjami 1.123.43, 2.22.1 i 2.20.7, uwierzytelniony użytkownik z uprawnieniami do tworzenia lub modyfikowania procesów roboczych mógł wstrzyknąć flagi CLI w operacji Push w węźle Git, co pozwalało atakującemu na odczyt dowolnych plików z serwera n8n, co potencjalnie prowadziło do pełnego kompromitacji.

CVE-2026-34916
Wysokie

Brak walidacji danych wejściowych przy zapisywaniu ograniczeń dostawy w Revive Adserver 6.0.6 i wcześniejszych wersjach może pozwolić użytkownikowi o niskich uprawnieniach na wstrzyknięcie złośliwego kodu PHP do pola compiledlimitations w bazie danych, co skutkuje jego wykonaniem podczas dostarczania banerów.

CVE-2026-34914
Wysokie

W skrypcie zone-include.php w Revive Adserver w wersji 6.0.6 i wcześniejszych brakuje odpowiedniej sanitizacji danych wejściowych. Użytkownik o niskich uprawnieniach może wykorzystać parametr clientid do przeprowadzenia ataków typu blind SQL injection.

CVE-2026-33760
Wysokie

Langflow przed wersją 1.9.0 zawiera podatność IDOR/BOLA w routerze /api/v1/monitor. Siedem endpointów umożliwia odczyt, modyfikację, zmianę nazwy lub trwałe usunięcie danych innych użytkowników (wiadomości, sesji, artefaktów budowania, logów transakcji LLM) bez sprawdzania własności zasobu. Wystarczy podać identyfikator zasobu lub flow_id ofiary.

CVE-2026-13007
Wysokie

Tenable Identity Exposure zawiera wiele nieautoryzowanych punktów końcowych API pod /w/api/*, które ujawniają wrażliwe dane konfiguracyjne aplikacji, w tym hasła LDAP w postaci niezaszyfrowanej, konfigurację SAML, konta użytkowników oraz ustawienia katalogu. Odpowiedzi są serwowane z nagłówkami Cache-Control: public i bez Vary: Cookie, co pozwala na buforowanie i udostępnianie tych danych nieautoryzowanym użytkownikom.

CVE-2026-12958
Wysokie

Brak walidacji symlinków w serwerach językowych dla AWS może umożliwić zapis dowolnego pliku poza granicami zaufania przestrzeni roboczej. Może to nastąpić, gdy lokalny użytkownik otworzy przestrzeń roboczą z złośliwie skonstruowanym symlinkiem, który prowadzi do ścieżki pliku poza granicami zaufania.

CVE-2026-12957
Wysokie

Nieprawidłowe egzekwowanie granic zaufania w serwerach językowych dla AWS przed wersją 1.65.0 może umożliwić wykonanie dowolnego kodu. Otwierając złośliwie skonstruowane środowisko robocze, lokalny użytkownik może nieświadomie uruchomić polecenia zawarte w plikach konfiguracyjnych projektu.

CVE-2026-11940
Wysokie

Podatność w funkcji tarfile.extractall() z filtrem 'data' lub 'tar' pozwala na ominięcie zabezpieczeń przez spreparowane archiwum, w którym dowiązanie twarde odwołuje się do dowiązania symbolicznego znajdującego się głębiej w strukturze archiwum. Mechanizm walidacji sprawdza dowiązanie symboliczne w jego oryginalnej lokalizacji, ale odtwarza je w płytszej ścieżce dowiązania twardego, co umożliwia ucieczkę poza docelowy katalog.

CVE-2025-61028
Wysokie

W komponencie time_t_to_dt w oprogramowaniu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61027
Wysokie

Problem w komponencie t_set_push w openlink virtuoso-opensource w wersji 7.2.11 umożliwia atakującym spowodowanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61025
Wysokie

W składniku sslr_qst_get w openlink virtuoso-opensource w wersji 7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61023
Wysokie

W komponencie st_compare projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem, który umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61022
Wysokie

Problem w komponencie sqlo_tb_col_preds w openlink virtuoso-opensource v7.2.11 umożliwia atakującym wywołanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61021
Wysokie

Problem w komponencie sqlo_natural_join_cond w openlink virtuoso-opensource v7.2.11 umożliwia atakującym spowodowanie Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61020
Wysokie

W komponencie sqlo_strip_in_join projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto podatność, która umożliwia atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

CVE-2025-61019
Wysokie

W składniku sqlo_key_part_best w openlink virtuoso-opensource v7.2.11 występuje problem, który pozwala atakującym na wywołanie ataku typu Denial of Service (DoS) za pomocą spreparowanych zapytań SQL.

CVE-2025-61018
Wysokie

W komponencie sqlo_place_dt_set projektu openlink virtuoso-opensource w wersji 7.2.11 wykryto problem umożliwiający atakującym wywołanie odmowy usługi (DoS) poprzez spreparowane zapytania SQL.

PoprzedniaStrona 99 z 3368Następna

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS