CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.07)
goshs to prosty serwer HTTP napisany w Go. W wersjach przed 2.0.0-beta.6 występuje luka w autoryzacji SFTP, gdy używana jest dokumentowana składnia podstawowej autoryzacji z pustą nazwą użytkownika. Serwer uruchomiony z opcjami -b ':pass' oraz -sftp akceptuje tę konfigurację, ale nie instaluje żadnego handlera haseł SFTP.
Improper verification of cryptographic signature in ASP.NET Core allows an unauthorized attacker to elevate privileges over a network.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. Przed wersją 1.8.215, funkcja instalacji modułów w FreeScout rozpakowywała archiwa ZIP bez weryfikacji ścieżek plików, co pozwalało uwierzytelnionemu administratorowi na dowolne zapisywanie plików na systemie plików serwera za pomocą specjalnie przygotowanego archiwum ZIP. Wersja 1.8.215 naprawia tę podatność.
W podatności CVE-2026-5652 występuje niebezpieczne bezpośrednie odniesienie do obiektu w komponencie API użytkowników Crafty Controller, co pozwala zdalnemu, uwierzytelnionemu atakującemu na wykonywanie działań modyfikacji użytkowników z powodu niewłaściwej walidacji uprawnień API.
W excel-mcp-server, który jest serwerem Model Context Protocol do manipulacji plikami Excel, występuje podatność na traversję ścieżki w wersjach do 0.1.7. Atakujący bez uwierzytelnienia może zdalnie odczytywać, zapisywać i nadpisywać dowolne pliki na systemie plików hosta, wykorzystując odpowiednio skonstruowane argumenty ścieżki.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólna skrzynka pocztowa. W wersjach przed 1.8.213 występuje podatność na masowe przypisanie w ustawieniach połączenia skrzynki pocztowej, co pozwala uwierzytelnionemu administratorowi na nadpisanie krytycznych pól modelu Mailbox.
CrowdStrike wydał aktualizacje zabezpieczeń w celu usunięcia krytycznej podatności na nieautoryzowany dostęp do systemu plików (CVE-2026-40050) w LogScale. Podatność ta dotyczy tylko klientów hostujących określone wersje LogScale i nie wpływa na klientów Next-Gen SIEM.
W urządzeniu Tenda W30E V2.0 w wersji V16.01.0.21 zidentyfikowano podatność na wstrzykiwanie poleceń w funkcji formSetUSBPartitionUmount poprzez parametr usbPartitionName. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego żądania.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, nieautoryzowany atakujący może uzyskać dostęp do narzędzi diagnostycznych i systemowych, które powinny być zastrzeżone dla administratorów, co prowadzi do ujawnienia wrażliwych informacji o serwerze oraz możliwości wyczerpania zasobów.
CVE-2025-41029 describes an SQL injection vulnerability in Zeon Academy Pro that allows an attacker to manipulate the database by sending a POST request with the 'phonenumber' parameter in '/private/continue-upload.php'.
Wersje Net::Dropbear przed 0.14 dla Perla zawierają podatną wersję libtomcrypt. Wersje te obejmują Dropbear 2019.78 lub wcześniejsze, które są dotknięte podatnościami CVE-2016-6129 i CVE-2018-12437.
Wersje Storable przed 3.05 dla Perla mają podatność na przepełnienie stosu. Funkcja retrieve_hook przechowuje długość nazwy klasy w liczbie całkowitej ze znakiem, ale w operacjach odczytu traktuje tę długość jako liczbę bez znaku, co umożliwia atakującemu skonstruowanie danych wywołujących przepełnienie.
Podatność polega na obejściu zabezpieczeń w komponencie bezpieczeństwa DOM. Została naprawiona w wersjach Firefox 150, Firefox ESR 140.10, Thunderbird 150 oraz Thunderbird 140.10.
Podatność CVE-2026-6768 dotyczy obejścia środków zaradczych w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.
Podatność CVE-2026-6760 dotyczy obejścia zabezpieczeń w komponencie Networking: Cookies. Została naprawiona w wersjach Firefox 150 i Thunderbird 150.
Uninitialized memory vulnerability in the Audio/Video: Web Codecs component of Firefox and Thunderbird. The flaw was fixed in Firefox 150, Firefox ESR 140.10, Thunderbird 150, and Thunderbird 140.10.
A new vulnerability in NewSoftOA allows unauthenticated local attackers to inject arbitrary OS commands and execute them on the server.
FreeScout to darmowy, samodzielnie hostowany system pomocy technicznej i wspólnej skrzynki pocztowej. W wersjach przed 1.8.213, tokeny do pobierania załączników były generowane przy użyciu słabej i przewidywalnej formuły, co umożliwiało nieautoryzowanym atakującym fałszowanie ważnych tokenów i pobieranie prywatnych załączników bez uwierzytelnienia.
Claude Code to narzędzie do kodowania, które przed wersją 2.1.64 nie zapobiegało tworzeniu symlinków przez procesy w piaskownicy, wskazujących na lokalizacje poza obszarem roboczym. To umożliwiało ucieczkę z piaskownicy, pozwalając na zapis do dowolnych lokalizacji, co mogło prowadzić do wykonania kodu poza piaskownicą.
OpenClaw przed wersją 2026.3.31 zawiera podatność na obejście piaskownicy, która pozwala atakującym na eskalację uprawnień poprzez dziedziczenie kontekstu heartbeat oraz manipulację parametrem senderIsOwner. Atakujący mogą wykorzystać niewłaściwą walidację kontekstu, aby obejść ograniczenia piaskownicy i uzyskać nieautoryzowaną eskalację uprawnień.

