CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
MetInfo CMS w wersjach 7.9, 8.0 i 8.1 zawiera podatność na wstrzykiwanie kodu PHP, która nie wymaga uwierzytelnienia. Atakujący mogą wysyłać spreparowane żądania z złośliwym kodem PHP, co pozwala na zdalne wykonanie dowolnego kodu.
Zidentyfikowano podatność w Juju od wersji 3.2.0 do 3.6.19 oraz od wersji 4.0 do 4.0.4, gdzie wewnętrzny klaster bazy danych Dqlite nie przeprowadza właściwej autoryzacji TLS dla klientów i serwerów. Punkt końcowy bazy danych kontrolera Juju nie weryfikuje certyfikatów klientów, co pozwala nieautoryzowanemu atakującemu dołączyć do klastra bazy danych.
Wtyczka Order Notification dla WooCommerce w WordPressie przed wersją 3.6.3 narusza kontrole uprawnień WooCommerce, co pozwala na pełny dostęp do wszystkich nieautoryzowanych żądań. Umożliwia to całkowity dostęp do zasobów sklepu, takich jak produkty, kupony i klienci.
Wykorzystanie po zwolnieniu pamięci w procesie kompozycji w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
W Google Chrome przed wersją 146.0.7680.178 występowała podatność typu use after free w nawigacji, która mogła pozwolić zdalnemu atakującemu, mającemu kontrolę nad procesem renderowania, na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
Wykorzystanie po zwolnieniu pamięci w WebView w Google Chrome na Androidzie przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.
A vulnerability in RTI Connext Professional related to improper restriction of XML external entity references allows unauthorized data linking and external entity blowup in data serialization.
XenForo w wersjach przed 2.3.7 zawiera problem bezpieczeństwa dotyczący kluczy dostępu (Passkeys) dodanych do kont użytkowników. Atakujący może być w stanie naruszyć bezpieczeństwo uwierzytelniania opartego na kluczach dostępu.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2, złośliwa strona internetowa mogła uzyskać zdalne wykonanie kodu (RCE) na dowolnym komputerze z uruchomionym SiYuan, wykorzystując liberalną politykę CORS do wstrzyknięcia fragmentu JavaScript przez API.
SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.6.2, atakujący mógł umieścić złośliwy URL w polu mAsse w widoku atrybutów, co prowadziło do przechowywanego XSS, gdy ofiara otworzyła widok Galerii lub Kanban z włączoną opcją „Cover From -> Asset Field”.
Alerta to narzędzie monitorujące. W wersjach przed 9.1.0, API wyszukiwania w ciągu zapytania (q=) było podatne na atak SQL injection poprzez parser zapytań Postgres, który budował klauzule WHERE, interpolując dostarczone przez użytkownika terminy wyszukiwania bezpośrednio do ciągów SQL za pomocą f-stringów. Problem ten został naprawiony w wersji 9.1.0.
Protokół komunikacyjny MAVLink domyślnie nie wymaga uwierzytelnienia kryptograficznego. Gdy podpisywanie wiadomości MAVLink 2.0 nie jest włączone, każda wiadomość, w tym SERIAL_CONTROL, która zapewnia dostęp do interaktywnej powłoki, może być wysyłana przez nieautoryzowaną stronę mającą dostęp do interfejsu MAVLink.
Podatność CVE-2026-30285 w Zora: Post, Trade, Earn Crypto v2.60.0 umożliwia atakującym nadpisanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
W Zefiro Cloud v32.0.2026011614 firmy Funambol, Inc. występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.
A vulnerability in NIS Animal Sounds and Ringtones version 1.3.0 allows attackers to overwrite critical internal files through the file import process, potentially leading to arbitrary code execution or information disclosure.
An arbitrary file overwrite vulnerability in Cast to TV Screen Mirroring v2.2.77 allows attackers to overwrite critical internal files via the file import process, leading to arbitrary code execution or information exposure.
An arbitrary file overwrite vulnerability in FLY is FUN Aviation Navigation v35.33 allows attackers to overwrite critical internal files via the file import process, leading to arbitrary code execution or information exposure.
HAPI FHIR to pełna implementacja standardu HL7 FHIR dla interoperacyjności w opiece zdrowotnej w Javie. Przed wersją 6.9.4, usługa walidatora FHIR HTTP udostępniała nieautoryzowany punkt końcowy '/loadIG', który umożliwiał wysyłanie żądań HTTP do adresów URL kontrolowanych przez atakującego.
Wersje 0.3.1 i wcześniejsze narzędzia wenxian, służącego do generowania plików BIBTEX, mają lukę, w której workflow GitHub Actions wykorzystuje niezaufane dane wejściowe z issue_comment.body bezpośrednio w poleceniu powłoki. To może prowadzić do wstrzyknięcia poleceń i wykonania dowolnego kodu na runnerze.
W bibliotece PJSIP przed wersją 2.17 występuje podatność na odczyt poza przydzielonym obszarem pamięci w unpacketizerze RTP VP9, która pojawia się podczas analizy spreparowanych danych Scalability Structure (SS). Niewystarczająca kontrola długości opisu ładunku może prowadzić do odczytów poza przydzielonym buforem ładunku RTP.

