CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26833
Critical

thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.

CVE-2026-26832
Critical

node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.

CVE-2026-26831
Critical

Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.

CVE-2026-26830
Critical

Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().

CVE-2025-59707
Critical

W N2W przed wersją 4.3.2 oraz 4.4.x przed wersją 4.4.1 występuje podatność na zdalne wykonanie kodu oraz kradzież danych logowania z powodu luki w zabezpieczeniach związanej z fałszowaniem.

CVE-2025-59706
Critical

W N2W przed wersją 4.3.2 oraz w wersjach 4.4.0 przed 4.4.1 występuje niewłaściwa walidacja parametrów żądań API, co umożliwia zdalne wykonanie kodu.

CVE-2025-32991
Critical

W N2WS Backup & Recovery przed wersją 4.4.0, atak dwustopniowy na interfejs API RESTful prowadzi do zdalnego wykonania kodu.

CVE-2026-28858
Critical

Wykryto przepełnienie bufora, które zostało naprawione dzięki poprawionemu sprawdzaniu granic. Problem ten został rozwiązany w iOS 26.4 oraz iPadOS 26.4.

CVE-2026-28827
Critical

W systemie macOS wystąpił problem z analizą ścieżek katalogów, który został rozwiązany poprzez poprawę walidacji ścieżek. Problem ten został naprawiony w wersjach macOS Sequoia 15.7.5, macOS Sonoma 14.8.5 oraz macOS Tahoe 26.4.

CVE-2026-20688
Critical

Problem z obsługą ścieżek został rozwiązany dzięki poprawionej walidacji. Problem ten został naprawiony w iOS 26.4, iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2025-33244
Critical

NVIDIA APEX dla systemu Linux zawiera podatność, która pozwala nieautoryzowanemu atakującemu na deserializację nieufnych danych. Podatność ta dotyczy środowisk korzystających z wersji PyTorch wcześniejszych niż 2.6.

CVE-2026-33511
Critical

W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.

CVE-2026-33322
Critical

MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.

CVE-2026-33409
Critical

Parse Server, otwarte oprogramowanie backendowe, ma lukę umożliwiającą obejście uwierzytelniania przed wersjami 8.6.52 i 9.6.0-alpha.41. Atakujący może zalogować się jako dowolny użytkownik, który powiązał swoje konto z zewnętrznym dostawcą uwierzytelniania, znając jedynie identyfikator dostawcy.

CVE-2026-33407
Critical

Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.

CVE-2026-33340
Critical

A critical Server-Side Request Forgery (SSRF) vulnerability has been identified in the LoLLMs web user interface. It allows unauthenticated attackers to force the server into making arbitrary GET requests, potentially leading to access to internal services and leakage of sensitive data.

CVE-2026-33334
Critical

Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.

CVE-2026-4729
Critical

Memory safety bugs were found in Firefox 148 and Thunderbird 148. Some of these bugs showed evidence of memory corruption, which could potentially allow arbitrary code execution. The vulnerability was fixed in Firefox 149 and Thunderbird 149.

CVE-2026-4725
Critical

Podatność CVE-2026-4725 dotyczy ucieczki z piaskownicy spowodowanej błędem use-after-free w komponencie Graphics: Canvas2D. Została naprawiona w wersjach Firefox 149 i Thunderbird 149.

CVE-2026-4724
Critical

W komponentach Audio/Video występuje nieokreślone zachowanie, które może prowadzić do problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 149 i Thunderbird 149.

PreviousPage 133 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS