CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
TiEmu w wersji 2.08 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez wykorzystanie niewystarczających kontroli granic na danych wejściowych dostarczonych przez użytkownika. Atakujący mogą wywołać przepełnienie za pomocą argumentów wiersza poleceń przekazywanych do aplikacji.
JAD w wersji 1.5.8e-1kali1 i wcześniejszych zawiera podatność typu przepełnienie bufora na stosie, która pozwala atakującym na wykonanie dowolnego kodu poprzez dostarczenie zbyt dużego wejścia przekraczającego granice bufora. Atakujący mogą stworzyć złośliwe ciągi wejściowe przekraczające 8150 bajtów, aby przepełnić stos, nadpisać adresy powrotu i wykonać shellcode w kontekście aplikacji.
Podatność związana z użyciem twardo zakodowanych poświadczeń w Microchip Time Provider 4100 umożliwia złośliwą ręczną aktualizację oprogramowania. Problem dotyczy wersji Time Provider 4100 przed 2.5.0.
W wersjach od 2.0.39 do przed 3.0.25 pakietu npm locutus występuje podatność na zanieczyszczenie prototypu w funkcji `parse_str`. Atakujący może zanieczyścić `Object.prototype`, nadpisując `RegExp.prototype.test` i przekazując spreparowany ciąg zapytania do `parse_str`, omijając zabezpieczenie przed zanieczyszczeniem prototypu.
W wersjach przed 3.0.25 funkcja `unserialize()` w `locutus/php/var/unserialize` przypisuje deserializowane klucze do obiektów bez filtrowania klucza `__proto__`. To umożliwia atakującym wstrzykiwanie właściwości oraz nadpisywanie metod, co prowadzi do potencjalnych problemów z bezpieczeństwem.
Notesnook to aplikacja do robienia notatek. W wersjach przed 3.3.11 na platformach Web/Desktop oraz 3.3.17 na Android/iOS występuje podatność na przechowywane XSS w procesie renderowania Web Clipper, co może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej.
A vulnerability in Handlebars versions 4.0.0 through 4.7.8 allows remote code execution (RCE) by supplying a crafted AST object to the `compile()` function. An attacker can inject arbitrary JavaScript because the `NumberLiteral` value is emitted without sanitization.
Platforma Federated Learning and Interoperability Platform (FLIP) w wersjach 0.1.1 i wcześniejszych nie posiada ograniczeń dotyczących liczby prób logowania ani mechanizmu CAPTCHA, co umożliwia ataki typu brute-force oraz credential-stuffing. Użytkownicy FLIP są zewnętrzni w stosunku do organizacji, co zwiększa ryzyko ponownego wykorzystania poświadczeń.
Gematik Authenticator zapewnia bezpieczną autoryzację użytkowników do logowania się do aplikacji zdrowotnych. Wersje przed 4.16.0 są podatne na przejęcie procesu autoryzacji, co może pozwolić atakującym na uwierzytelnienie się jako ofiary, które kliknęły złośliwy link.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.0 funkcja Agentic Assistant wykonuje kod Python generowany przez LLM podczas fazy walidacji, co może prowadzić do nieautoryzowanego wykonania kodu na serwerze.
Home Assistant to oprogramowanie do automatyzacji domu, które stawia na lokalną kontrolę i prywatność. Aplikacje Home Assistant skonfigurowane w trybie sieci hosta udostępniają nieautoryzowane punkty końcowe, które są związane z wewnętrznym interfejsem mostka Docker, co pozwala na dostęp z lokalnej sieci bez uwierzytelnienia.
Interfejs administracyjny Pi-hole, używany do zarządzania aplikacją blokującą reklamy i śledzenie w sieci, ma krytyczną podatność na wstrzykiwanie poleceń systemowych w pliku savesettings.php. Wersje przed 6.0 nie sanitizują ani nie walidują parametru $_POST['webtheme'], co pozwala atakującemu na dodanie dowolnych poleceń systemowych.
W wersjach przed 0.1.6 asystent AI 'nanobot' ma podatność na pośrednie wstrzykiwanie poleceń w module przetwarzania wiadomości e-mail. Atakujący może wysłać złośliwe polecenia do monitorowanego adresu e-mail bota, co pozwala na wykonanie dowolnych instrukcji LLM bez interakcji właściciela bota.
Fleet to oprogramowanie do zarządzania urządzeniami typu open source. Przed wersją 4.81.1 występowała podatność na wstrzykiwanie poleceń w procesie instalacji oprogramowania, która pozwalała atakującemu na wykonanie dowolnego kodu jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych hostach podczas wywołania dezinstalacji przygotowanego pakietu oprogramowania. Wersja 4.81.1 naprawia ten problem.
WWBN AVideo to otwarta platforma wideo. W wersjach do 26.0 w metodzie `Live_schedule::keyExists()` zapytanie SQL jest konstruowane poprzez interpolację klucza strumienia bez parametryzacji, co stwarza ryzyko SQL injection.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku admin/manage_product.php poprzez parametr 'id'.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.
Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.

