CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26149
Critical

Improper neutralization of escape, meta, or control sequences in Microsoft Power Apps allows an authorized attacker to perform spoofing over a network.

CVE-2025-70023
Critical

W wersji 0.25.6 biblioteki transloadit uppy odkryto problem związany z CWE-843: Dostęp do zasobu przy użyciu niekompatybilnego typu.

CVE-2026-39813
CriticalEPSS 97%

A path traversal vulnerability in Fortinet FortiSandbox versions 5.0.0 through 5.0.5 and 4.4.0 through 4.4.8 may allow an attacker to escalate privileges via specially crafted HTTP requests.

CVE-2026-39808
Critical

W Fortinet FortiSandbox w wersjach od 4.4.0 do 4.4.8 występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu lub poleceń.

CVE-2026-38526
Critical

W Webkul Krayin CRM w wersji 2.2.x występuje podatność na uwierzytelnione przesyłanie dowolnych plików w punkcie końcowym /admin/tinymce/upload, co pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku PHP.

CVE-2025-65135
Critical

W systemie zarządzania szkołą manikandan580 w wersji 1.0 występuje podatność na ślepe wstrzykiwanie SQL oparte na czasie w pliku /studentms/admin/between-date-reprtsdetails.php, wykorzystująca parametr POST 'fromdate'.

CVE-2025-65133
Critical

W systemie zarządzania szkołą (wersja 1.0) autorstwa manikandan580 występuje podatność na wstrzykiwanie SQL. Atakujący, zarówno niezautoryzowany, jak i autoryzowany, może wysłać odpowiednio przygotowane żądanie HTTP do podatnego punktu końcowego, aby manipulować logiką zapytań SQL i wydobywać wrażliwe informacje z bazy danych.

CVE-2025-63939
Critical

W systemie zarządzania sklepem spożywczym anirudhkannan w wersji 1.0 występuje niewłaściwe przetwarzanie danych wejściowych w pliku /Grocery/search_products_itname.php, co umożliwia atak typu SQL injection poprzez parametr POST sitem_name.

CVE-2025-61260
CriticalEPSS 93%

A vulnerability in OpenAI Codex CLI v0.23.0 and earlier allows code execution via malicious MCP configuration files. The attack is triggered when a user runs the codex command in a compromised repository, as Codex automatically loads local .env and .codex/config.toml files without user confirmation.

CVE-2026-31049
Critical

W Hostbill w wersjach 2025-11-24 i 2025-12-01 występuje problem, który umożliwia zdalnemu atakującemu wykonanie dowolnego kodu oraz eskalację uprawnień poprzez pole rejestracji CSV.

CVE-2026-31908
Critical

W Apache APISIX występuje podatność na wstrzykiwanie nagłówków, która może być wykorzystana przez atakującego dzięki określonej konfiguracji wtyczki forward-auth. Problem dotyczy wersji od 2.12.0 do 3.15.0.

CVE-2026-40315
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.133 występuje podatność na wstrzykiwanie identyfikatorów SQL w SQLiteConversationStore, gdzie wartość konfiguracyjna table_prefix jest bezpośrednio łączona z zapytaniami SQL bez walidacji lub sanitizacji.

CVE-2026-40313
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach 4.5.139 i poniżej, przepływy pracy GitHub Actions są podatne na atak ArtiPACKED, który może prowadzić do wycieku poświadczeń z powodu użycia actions/checkout bez ustawienia persist-credentials: false.

CVE-2026-40289
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach poniżej 4.5.139 PraisonAI oraz 1.5.140 praisonaiagents, mostek przeglądarki jest podatny na przejęcie sesji zdalnych bez uwierzytelnienia z powodu braku odpowiedniej autoryzacji oraz możliwości obejścia sprawdzania pochodzenia na końcówce WebSocket /ws.

CVE-2026-40288
Critical

PraisonAI to system wieloagentowy, który w wersjach poniżej 4.5.139 oraz 1.5.140 jest podatny na wykonanie dowolnych poleceń i kodu poprzez nieufne pliki YAML. Silnik workflow nie weryfikuje ani nie izoluje plików YAML, co pozwala na wykonanie poleceń powłoki, skryptów inline w Pythonie oraz dowolnych skryptów Pythona.

CVE-2026-6264
Critical

Krytyczna podatność w Talend JobServer i Talend Runtime umożliwia zdalne wykonanie kodu bez uwierzytelnienia przez port monitorowania JMX. Wektor ataku to port monitorowania JMX Talend JobServer.

CVE-2026-4365
Critical

Wtyczka LearnPress dla WordPressa jest podatna na nieautoryzowane usuwanie danych z powodu braku sprawdzenia uprawnień w funkcji `delete_question_answer()`. Problem dotyczy wszystkich wersji do i włącznie z 4.3.2.8, gdzie wtyczka udostępnia nonce `wp_rest` w publicznym HTML, co umożliwia atakującym usunięcie odpowiedzi na quizy.

CVE-2026-27681
Critical

W wyniku niewystarczających kontroli autoryzacji w SAP Business Planning and Consolidation oraz SAP Business Warehouse, uwierzytelniony użytkownik może wykonać spreparowane zapytania SQL, aby odczytać, zmodyfikować i usunąć dane z bazy danych. To prowadzi do wysokiego wpływu na poufność, integralność i dostępność systemu.

CVE-2026-22564
Critical

Podatność związana z niewłaściwą kontrolą dostępu może umożliwić złośliwemu użytkownikowi z dostępem do sieci UniFi Play włączenie SSH i dokonanie nieautoryzowanych zmian w systemie.

CVE-2026-22563
Critical

Seria podatności związanych z niewłaściwą walidacją danych wejściowych może umożliwić atak typu Command Injection przez złośliwego użytkownika mającego dostęp do sieci UniFi Play.

PreviousPage 109 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS