CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-34221
Critical

MikroORM, TypeScript ORM dla Node.js, zawierał podatność na zanieczyszczenie prototypu w funkcji Utils.merge przed wersjami 6.6.10 i 7.0.6. Funkcja ta nie blokowała specjalnych kluczy, co pozwalało na modyfikację prototypu obiektu JavaScript przez dane kontrolowane przez atakującego.

CVE-2026-34220
Critical

MikroORM to ORM w TypeScript dla Node.js, oparty na wzorcach Data Mapper, Unit of Work i Identity Map. Przed wersjami 6.6.10 i 7.0.6 występowała podatność na wstrzyknięcie SQL, gdy specjalnie przygotowane obiekty były interpretowane jako fragmenty zapytań SQL.

CVE-2026-30281
Critical

Podatność CVE-2026-30281 w MaruNuri LLC v2.0.23 pozwala atakującym na nadpisywanie krytycznych plików wewnętrznych poprzez proces importu plików, co może prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-30276
Critical

W DeftPDF Document Translator w wersji 54.0 występuje podatność na nadpisanie dowolnych plików, która pozwala atakującym na nadpisanie krytycznych plików wewnętrznych podczas procesu importu plików. Może to prowadzić do wykonania dowolnego kodu lub ujawnienia informacji.

CVE-2026-34532
Critical

Parse Server, otwarte źródło backendu, przed wersjami 8.6.67 i 9.7.0-alpha.11, pozwala atakującym na obejście kontroli dostępu do walidatorów funkcji chmurowych poprzez dodanie 'prototype.constructor' do nazwy funkcji w URL. To prowadzi do pominięcia egzekwowania kontroli dostępu dla funkcji chmurowych, które powinny być chronione przez walidatory.

CVE-2026-34162
Critical

FastGPT to platforma do budowania agentów AI. W wersjach przed 4.14.9.5, punkt końcowy testowania narzędzi HTTP (/api/core/app/httpTools/runTool) był dostępny bez autoryzacji, co pozwalało na pełne wykorzystanie proxy HTTP przez użytkowników.

CVE-2026-33579
Critical

OpenClaw przed wersją 2026.3.28 zawiera podatność na eskalację uprawnień w ścieżce polecenia /pair approve, która nie przekazuje zakresów wywołującego do głównej weryfikacji zatwierdzenia. Osoba z uprawnieniami parowania, ale bez uprawnień administratora, może zatwierdzić oczekujące żądania urządzeń, które wymagają szerszych zakresów, w tym dostępu administratora.

CVE-2026-30314
Critical

Moduł automatycznej akceptacji poleceń w Ridvay Code zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy całkowicie nieskutecznym. Wykorzystuje on słabe wyrażenia regularne do analizy struktur poleceń, co pozwala atakującemu na wstrzyknięcie złośliwego kodu.

CVE-2026-30312
Critical

Moduł automatycznej akceptacji poleceń DSAI-Cline zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, która całkowicie unieważnia mechanizm bezpieczeństwa oparty na białej liście. System nieprawidłowo przetwarza znaki nowej linii, co pozwala atakującemu na wstrzyknięcie złośliwego kodu w ramach dozwolonego polecenia.

CVE-2026-30311
Critical

Moduł automatycznej akceptacji poleceń Ridvay Code zawiera krytyczną podatność na wstrzykiwanie poleceń systemowych, co czyni jego mechanizm białej listy całkowicie nieskutecznym. System opiera się na kruchych wyrażeniach regularnych do analizy struktur poleceń, co prowadzi do błędnej identyfikacji niebezpiecznych operacji.

CVE-2026-34156
Critical

NocoBase to platforma no-code/low-code zasilana sztuczną inteligencją, która przed wersją 2.0.28 miała lukę w swoim węźle skryptów roboczych. Umożliwiała ona wykonanie dostarczonego przez użytkownika kodu JavaScript w sandboxie Node.js, co mogło prowadzić do zdalnego wykonania kodu jako root.

CVE-2026-30310
Critical

Podatność CVE-2026-30310 dotyczy systemu automatycznego wykonywania poleceń terminalowych w aplikacji Sixth, który oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wszystkich poleceń. Atakujący może wykorzystać atak typu prompt injection, aby oszukać model i sklasyfikować złośliwe polecenie jako 'bezpieczne', co pozwala na jego wykonanie bez zgody użytkownika.

CVE-2026-32917
Critical

OpenClaw przed wersją 2026.3.13 zawiera podatność na zdalne wstrzykiwanie poleceń w procesie przygotowywania załączników iMessage, co pozwala atakującym na wykonywanie dowolnych poleceń na skonfigurowanych zdalnych hostach. Problem wynika z braku walidacji nieoczyszczonych ścieżek załączników zdalnych zawierających metaznaki powłoki.

CVE-2026-32916
Critical

Wersje OpenClaw 2026.3.7 przed 2026.3.11 zawierają podatność na obejście autoryzacji, która pozwala na wykonywanie metod bramy przez klienta syntetycznego z szerokimi uprawnieniami administracyjnymi. Zdalne, nieautoryzowane żądania do tras należących do wtyczek mogą wywoływać metody runtime.subagent, co umożliwia wykonywanie uprzywilejowanych działań bramy, w tym usuwanie sesji i uruchamianie agentów.

CVE-2025-15618
Critical

Wersje Business::OnlinePayment::StoredTransaction do 0.01 dla Perla wykorzystują niebezpieczny klucz tajny. Klucz ten jest generowany przy użyciu hasha MD5 z pojedynczego wywołania wbudowanej funkcji rand, co jest niewłaściwe do zastosowań kryptograficznych.

CVE-2026-4317
Critical

There is an SQL injection (SQLi) vulnerability in the Umami Software web application due to an improperly sanitized parameter. This allows an authenticated attacker to execute arbitrary SQL commands in the database by manipulating the 'timezone' request parameter.

CVE-2026-34060
Critical

Ruby LSP to implementacja protokołu serwera językowego dla Ruby. Przed wersjami Shopify.ruby-lsp 0.10.2 i ruby-lsp 0.26.9, ustawienie rubyLsp.branch w VS Code było interpolowane bez sanitizacji do generowanego Gemfile, co umożliwiało wykonanie dowolnego kodu Ruby, gdy użytkownik otworzył projekt zawierający złośliwy plik .vscode/settings.json.

CVE-2026-34041
Critical

Projekt act umożliwia lokalne uruchamianie akcji GitHub. W wersjach przed 0.2.86, act bezwarunkowo przetwarzał przestarzałe komendy ::set-env:: i ::add-path::, co stwarzało ryzyko wstrzykiwania danych do środowiska.

CVE-2026-32714
Critical

SciTokens to biblioteka referencyjna do generowania i używania SciTokens. W wersjach przed 1.9.6 klasa KeyCache była podatna na atak SQL Injection z powodu użycia metody str.format() Pythona do konstruowania zapytań SQL z danymi dostarczonymi przez użytkownika.

CVE-2026-3300
Critical

Wtyczka Everest Forms Pro dla WordPressa jest podatna na zdalne wykonanie kodu poprzez wstrzyknięcie kodu PHP we wszystkich wersjach do i włącznie z 1.9.12. Problem wynika z funkcji process_filter() dodatku Calculation, która łączy wartości pól formularza przesyłane przez użytkowników w ciąg kodu PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem.

PreviousPage 125 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS