CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-29014
Critical

MetInfo CMS w wersjach 7.9, 8.0 i 8.1 zawiera podatność na wstrzykiwanie kodu PHP, która nie wymaga uwierzytelnienia. Atakujący mogą wysyłać spreparowane żądania z złośliwym kodem PHP, co pozwala na zdalne wykonanie dowolnego kodu.

CVE-2026-4370
Critical

Zidentyfikowano podatność w Juju od wersji 3.2.0 do 3.6.19 oraz od wersji 4.0 do 4.0.4, gdzie wewnętrzny klaster bazy danych Dqlite nie przeprowadza właściwej autoryzacji TLS dla klientów i serwerów. Punkt końcowy bazy danych kontrolera Juju nie weryfikuje certyfikatów klientów, co pozwala nieautoryzowanemu atakującemu dołączyć do klastra bazy danych.

CVE-2025-15484
Critical

Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.

CVE-2026-5290
Critical

Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5289
Critical

W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-5288
Critical

Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-4374
Critical

A vulnerability in RTI Connext Professional related to improper restriction of XML external entity references allows unauthorized data linking and external entity blowup in data serialization.

CVE-2025-71279
Critical

XenForo w wersjach przed 2.3.7 zawiera problem bezpieczeństwa dotyczący kluczy dostępu (Passkeys) dodanych do kont użytkowników. Atakujący może być w stanie naruszyć bezpieczeństwo uwierzytelniania opartego na kluczach dostępu.

CVE-2026-34449
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2, złośliwa strona internetowa mogła uzyskać zdalne wykonanie kodu (RCE) na dowolnym komputerze z uruchomionym SiYuan, wykorzystując liberalną politykę CORS do wstrzyknięcia fragmentu JavaScript przez API.

CVE-2026-34448
Critical

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.6.2, atakujący mógł umieścić złośliwy URL w polu mAsse w widoku atrybutów, co prowadziło do przechowywanego XSS, gdy ofiara otworzyła widok Galerii lub Kanban z włączoną opcją „Cover From -> Asset Field”.

CVE-2026-34400
Critical

Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.

CVE-2026-1579
Critical

Protokół komunikacyjny MAVLink domyślnie nie wymaga uwierzytelnienia kryptograficznego. Gdy podpisywanie wiadomości MAVLink 2.0 nie jest włączone, każda wiadomość, w tym SERIAL_CONTROL, która zapewnia dostęp do interaktywnej powłoki, może być wysyłana przez nieautoryzowaną stronę mającą dostęp do interfejsu MAVLink.

CVE-2026-30285
Critical

Podatność CVE-2026-30285 w Zora: Post, Trade, Earn Crypto v2.60.0 umożliwia atakującym nadpisanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30286
Critical

W Zefiro Cloud v32.0.2026011614 firmy Funambol, Inc. występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30283
Critical

A vulnerability in NIS Animal Sounds and Ringtones version 1.3.0 allows attackers to overwrite critical internal files through the file import process, potentially leading to arbitrary code execution or information disclosure.

CVE-2026-30282
Critical

An arbitrary file overwrite vulnerability in Cast to TV Screen Mirroring v2.2.77 allows attackers to overwrite critical internal files via the file import process, leading to arbitrary code execution or information exposure.

CVE-2026-30278
Critical

An arbitrary file overwrite vulnerability in FLY is FUN Aviation Navigation v35.33 allows attackers to overwrite critical internal files via the file import process, leading to arbitrary code execution or information exposure.

CVE-2026-34361
Critical

HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.

CVE-2026-34243
Critical

Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.

CVE-2026-34235
Critical

W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.

PreviousPage 124 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS