CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2017-20225
Critical

TiEmu w wersji 2.08 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez wykorzystanie niewystarczających kontroli granic na danych wejściowych dostarczonych przez użytkownika. Atakujący mogą wywołać przepełnienie za pomocą argumentów wiersza poleceń przekazywanych do aplikacji.

CVE-2016-20049
Critical

JAD w wersji 1.5.8e-1kali1 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia przekraczającego granice bufora. Atakujący mogą stworzyć złośliwe ciągi wejściowe przekraczające 8150 bajtów, aby przepełnić stos, nadpisać adresy powrotu i wykonać shellcode w kontekście aplikacji.

CVE-2025-9497
Critical

Podatność związana z użyciem twardo zakodowanych poświadczeń w Microchip Time Provider 4100 umożliwia złośliwą ręczną aktualizację oprogramowania. Problem dotyczy wersji Time Provider 4100 przed 2.5.0.

CVE-2026-33994
Critical

W wersjach od 2.0.39 do przed 3.0.25 pakietu npm locutus występuje podatność na zanieczyszczenie prototypu w funkcji `parse_str`. Atakujący może zanieczyścić `Object.prototype`, nadpisując `RegExp.prototype.test` i przekazując spreparowany ciąg zapytania do `parse_str`, omijając zabezpieczenie przed zanieczyszczeniem prototypu.

CVE-2026-33993
Critical

W wersjach przed 3.0.25 funkcja `unserialize()` w `locutus/php/var/unserialize` przypisuje deserializowane klucze do obiektów bez filtrowania klucza `__proto__`. To umożliwia atakującym wstrzykiwanie właściwości oraz nadpisywanie metod, co prowadzi do potencjalnych problemów z bezpieczeństwem.

CVE-2026-33976
Critical

Notesnook to aplikacja do robienia notatek. W wersjach przed 3.3.11 na platformach Web/Desktop oraz 3.3.17 na Android/iOS występuje podatność na przechowywane XSS w procesie renderowania Web Clipper, co może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej.

CVE-2026-33937
CriticalEPSS 75%

A vulnerability in Handlebars versions 4.0.0 through 4.7.8 allows remote code execution (RCE) by supplying a crafted AST object to the `compile()` function. An attacker can inject arbitrary JavaScript because the `NumberLiteral` value is emitted without sanitization.

CVE-2026-33879
Critical

Platforma Federated Learning and Interoperability Platform (FLIP) w wersjach 0.1.1 i wcześniejszych nie posiada ograniczeń dotyczących liczby prób logowania ani mechanizmu CAPTCHA, co umożliwia ataki typu brute-force oraz credential-stuffing. Użytkownicy FLIP są zewnętrzni w stosunku do organizacji, co zwiększa ryzyko ponownego wykorzystania poświadczeń.

CVE-2026-33875
Critical

Gematik Authenticator zapewnia bezpieczną autoryzację użytkowników do logowania się do aplikacji zdrowotnych. Wersje przed 4.16.0 są podatne na przejęcie procesu autoryzacji, co może pozwolić atakującym na uwierzytelnienie się jako ofiary, które kliknęły złośliwy link.

CVE-2026-33873
Critical

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.0 funkcja Agentic Assistant wykonuje kod Python generowany przez LLM podczas fazy walidacji, co może prowadzić do nieautoryzowanego wykonania kodu na serwerze.

CVE-2026-34205
Critical

Home Assistant to oprogramowanie do automatyzacji domu, które stawia na lokalną kontrolę i prywatność. Aplikacje Home Assistant skonfigurowane w trybie sieci hosta udostępniają nieautoryzowane punkty końcowe, które są związane z wewnętrznym interfejsem mostka Docker, co pozwala na dostęp z lokalnej sieci bez uwierzytelnienia.

CVE-2026-33765
Critical

Interfejs administracyjny Pi-hole, używany do zarządzania aplikacją blokującą reklamy i śledzenie w sieci, ma krytyczną podatność na wstrzykiwanie poleceń systemowych w pliku savesettings.php. Wersje przed 6.0 nie sanitizują ani nie walidują parametru $_POST['webtheme'], co pozwala atakującemu na dodanie dowolnych poleceń systemowych.

CVE-2026-33654
Critical

W wersjach przed 0.1.6 asystent AI 'nanobot' ma podatność na pośrednie wstrzykiwanie poleceń w module przetwarzania wiadomości e-mail. Atakujący może wysłać złośliwe polecenia do monitorowanego adresu e-mail bota, co pozwala na wykonanie dowolnych instrukcji LLM bez interakcji właściciela bota.

CVE-2026-34387
Critical

Fleet to oprogramowanie do zarządzania urządzeniami typu open source. Przed wersją 4.81.1 występowała podatność na wstrzykiwanie poleceń w procesie instalacji oprogramowania, która pozwalała atakującemu na wykonanie dowolnego kodu jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych hostach podczas wywołania dezinstalacji przygotowanego pakietu oprogramowania. Wersja 4.81.1 naprawia ten problem.

CVE-2026-34374
Critical

WWBN AVideo to otwarta platforma wideo. W wersjach do 26.0 w metodzie `Live_schedule::keyExists()` zapytanie SQL jest konstruowane poprzez interpolację klucza strumienia bez parametryzacji, co stwarza ryzyko SQL injection.

CVE-2026-33770
Critical

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.

CVE-2026-30533
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku admin/manage_product.php poprzez parametr 'id'.

CVE-2026-30532
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.

CVE-2026-30530
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.

CVE-2026-30302
Critical

Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.

PreviousPage 128 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS