CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.
node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.
Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.
Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().
W N2W przed wersją 4.3.2 oraz 4.4.x przed wersją 4.4.1 występuje podatność na zdalne wykonanie kodu oraz kradzież danych logowania z powodu luki w zabezpieczeniach związanej z fałszowaniem.
W N2W przed wersją 4.3.2 oraz w wersjach 4.4.0 przed 4.4.1 występuje niewłaściwa walidacja parametrów żądań API, co umożliwia zdalne wykonanie kodu.
W N2WS Backup & Recovery przed wersją 4.4.0, atak dwustopniowy na interfejs API RESTful prowadzi do zdalnego wykonania kodu.
Wykryto przepełnienie bufora, które zostało naprawione dzięki poprawionemu sprawdzaniu granic. Problem ten został rozwiązany w iOS 26.4 oraz iPadOS 26.4.
W systemie macOS wystąpił problem z analizą ścieżek katalogów, który został rozwiązany poprzez poprawę walidacji ścieżek. Problem ten został naprawiony w wersjach macOS Sequoia 15.7.5, macOS Sonoma 14.8.5 oraz macOS Tahoe 26.4.
Problem z obsługą ścieżek został rozwiązany dzięki poprawionej walidacji. Problem ten został naprawiony w iOS 26.4, iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 oraz visionOS 26.4.
NVIDIA APEX dla systemu Linux zawiera podatność, która pozwala nieautoryzowanemu atakującemu na deserializację nieufnych danych. Podatność ta dotyczy środowisk korzystających z wersji PyTorch wcześniejszych niż 2.6.
W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.
MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.
Parse Server, otwarte oprogramowanie backendowe, ma lukę umożliwiającą obejście uwierzytelniania przed wersjami 8.6.52 i 9.6.0-alpha.41. Atakujący może zalogować się jako dowolny użytkownik, który powiązał swoje konto z zewnętrznym dostawcą uwierzytelniania, znając jedynie identyfikator dostawcy.
Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.
A critical Server-Side Request Forgery (SSRF) vulnerability has been identified in the LoLLMs web user interface. It allows unauthenticated attackers to force the server into making arbitrary GET requests, potentially leading to access to internal services and leakage of sensitive data.
Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.
Memory safety bugs were found in Firefox 148 and Thunderbird 148. Some of these bugs showed evidence of memory corruption, which could potentially allow arbitrary code execution. The vulnerability was fixed in Firefox 149 and Thunderbird 149.
Podatność CVE-2026-4725 dotyczy ucieczki z piaskownicy spowodowanej błędem use-after-free w komponencie Graphics: Canvas2D. Została naprawiona w wersjach Firefox 149 i Thunderbird 149.
W komponentach Audio/Video występuje nieokreślone zachowanie, które może prowadzić do problemów z bezpieczeństwem. Podatność ta została naprawiona w wersjach Firefox 149 i Thunderbird 149.

