CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W urządzeniach UniFi Play zidentyfikowano podatność typu Path Traversal, która pozwala złośliwemu użytkownikowi na zapis plików w systemie. Wykorzystanie tej luki może prowadzić do zdalnego wykonania kodu (RCE).
Problem w protokole <code>pickle</code> w Pyro v3.x umożliwia atakującym wykonanie dowolnego kodu poprzez dostarczenie spreparowanej wiadomości w postaci zserializowanego ciągu znaków.
Pachno 1.0.6 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu poprzez wstrzykiwanie złośliwych obiektów serializowanych do plików cache. Atakujący mogą zapisywać ładunki obiektów PHP do plików cache o przewidywalnych nazwach, które są deserializowane podczas uruchamiania frameworka przed sprawdzeniem autoryzacji.
Pachno w wersji 1.0.6 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików poprzez wykorzystanie niebezpiecznego parsowania XML w pomocniku TextParser. Atakujący mogą wstrzykiwać złośliwe jednostki XML za pomocą składni tabel wiki oraz tagów inline w opisach problemów, komentarzach i artykułach wiki.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W Totara LMS w wersji 19.1.5 i wcześniejszych, API do resetowania hasła nie wprowadza limitu liczby prób dla docelowego adresu e-mail, co może być wykorzystane do ataku typu Email Bombing. Dodatkowo, konfiguracja pwresettime domyślnie wynosi 30 minut, a aktywacja flagi PWRESET_STATUS_ALREADYSENT zapobiega wysyłaniu kolejnych wiadomości o resetowaniu hasła dla danego adresu e-mail.
Totara LMS v19.1.5 and earlier is vulnerable to Incorrect Access Control. The login page code can be manipulated to reveal the login form, allowing an attacker to perform a brute force attack due to the lack of rate-limiting on the login form.
An improper verification of cryptographic signature vulnerability in Cortex XSOAR and Cortex XSIAM platforms during Microsoft Teams integration allows an unauthenticated user to access and modify protected resources.
Wersje Solstice::Session do 1440 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Metoda _generateSessionID zwraca skrót MD5, który jest podatny na przewidywanie, co może umożliwić atakującym uzyskanie dostępu do systemów.
Podatność typu out-of-bounds write w module WEB może prowadzić do nieautoryzowanego zapisu danych. Skuteczne wykorzystanie tej podatności wpłynie na dostępność oraz poufność systemu.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setIpQosRules w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem Comment prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313. Problem dotyczy funkcji setWanCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem pppoeServiceName może prowadzić do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setWizardCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wizard prowadzi do wstrzyknięcia poleceń systemowych, co może być zrealizowane zdalnie.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadFirmwareFile w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji UploadOpenVpnCert w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem FileName prowadzi do wstrzyknięcia poleceń systemowych.
W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 znaleziono lukę, która dotyczy funkcji setAccessDeviceCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem mac prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W podatności CVE-2026-6132 zidentyfikowano problem w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Dotyczy on funkcji setLedCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setTracerouteCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem command prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
Skrypt hostingu obrazów CF w wersji 1.6.5 pozwala nieautoryzowanym atakującym na pobranie i dekodowanie bazy danych aplikacji poprzez dostęp do pliku imgdb.db w katalogu upload/data. Atakujący mogą wydobyć identyfikatory usuniętych obrazów przechowywane w postaci tekstu jawnego z deserializowanej bazy danych.
Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setDiagnosisCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem ip prowadzi do wstrzyknięcia poleceń systemowych.

