CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2019-25646
Critical

Tabs Mail Carrier w wersji 2.5.1 zawiera podatność na przepełnienie bufora w komendzie MAIL FROM SMTP, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysłanie spreparowanego parametru MAIL FROM. Atakujący mogą połączyć się z usługą SMTP na porcie 25 i wysłać złośliwą komendę MAIL FROM z nadmiernym buforem.

CVE-2019-25628
Critical

Download Accelerator Plus DAP w wersji 10.0.6.0 zawiera podatność na przepełnienie bufora w obsłudze wyjątków, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez stworzenie złośliwych adresów URL. Atakujący mogą stworzyć specjalnie przygotowane adresy URL z danymi przepełniającymi bufor, które nadpisują wskaźniki SEH i wykonują osadzony kod powłoki.

CVE-2026-4755
Critical

Podatność CWE-20 w MolotovCherry Android-ImageMagick7 dotyczy wersji przed 7.1.2-11. Problem ten może prowadzić do nieprawidłowego przetwarzania danych wejściowych.

CVE-2026-4753
Critical

Out-of-bounds Read vulnerability in the RetroDebugger slider, affecting versions before v0.64.72.

CVE-2026-4750
Critical

Out-of-bounds Read vulnerability exists in fabiangreffrath woof before version woof_15.3.0. This may lead to unauthorized memory read.

CVE-2026-4283
Critical

Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na nieautoryzowane usuwanie kont we wszystkich wersjach do i włącznie z 3.1.38. Problem wynika z akcji AJAX `super-unsubscribe`, która akceptuje parametr `process_now` od nieautoryzowanych użytkowników, omijając proces potwierdzenia e-mailem i natychmiastowo wywołując nieodwracalną anonimizację konta.

CVE-2026-4739
Critical

CVE-2026-4739 involves an integer overflow or wraparound vulnerability in the Expat module in ITK before version 2.7.1. This may lead to unexpected application behavior.

CVE-2026-4001
Critical

Wtyczka Woocommerce Custom Product Addons Pro dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji i walidacji wartości pól przesyłanych przez użytkowników przed ich przekazaniem do funkcji eval() w PHP.

CVE-2026-33286
Critical

Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.

CVE-2026-33211
Critical

A path traversal vulnerability in the Tekton Pipelines git resolver allows reading arbitrary files from the resolver pod's filesystem via the `pathInRepo` parameter. An attacker with permission to create `ResolutionRequests` can access ServiceAccount tokens and other sensitive data.

CVE-2026-33195
Critical

A path traversal vulnerability in Active Storage's `DiskService#path_for` allows arbitrary file access when blob keys contain `../` sequences. Attackers can read, write, or delete files outside the storage root directory.

CVE-2026-32913
Critical

OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.

CVE-2025-60949
Critical

Census CSWeb w wersji 8.0.1 umożliwia dostęp do katalogu 'app/config' przez HTTP w niektórych wdrożeniach. Zdalny, nieautoryzowany atakujący może wysyłać żądania do plików konfiguracyjnych i uzyskać wyciekłe sekrety.

CVE-2026-3055
Critical

Niewystarczająca walidacja danych wejściowych w NetScaler ADC i NetScaler Gateway, gdy są skonfigurowane jako SAML IDP, prowadzi do nadmiernego odczytu pamięci.

CVE-2026-30849
Critical

Mantis Bug Tracker (MantisBT) w wersjach przed 2.28.1, działających na bazach danych rodziny MySQL, ma podatność na obejście uwierzytelniania w API SOAP z powodu niewłaściwego sprawdzania typu parametru hasła. Atakujący, znając nazwę użytkownika ofiary, może zalogować się do API SOAP bez znajomości hasła i wykonać dowolną funkcję API, do której ma dostęp.

CVE-2026-2298
Critical

Podatność CVE-2026-2298 dotyczy niewłaściwej neutralizacji ograniczników argumentów w poleceniach, co prowadzi do możliwości manipulacji protokołem usług internetowych w Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 30 stycznia 2026 roku.

CVE-2026-33716
Critical

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0, punkt końcowy kontroli transmisji na żywo `plugin/Live/standAloneFiles/control.json.php` akceptuje parametr `streamerURL`, który pozwala na przekierowanie żądań weryfikacji tokenów do serwera kontrolowanego przez atakującego, co umożliwia całkowite ominięcie uwierzytelnienia.

CVE-2026-33502
Critical

AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.

CVE-2026-4404
Critical

W wersji 2.15.0 i wcześniejszych GoHarbor Harbor występuje problem z użyciem twardo zakodowanych poświadczeń, co pozwala atakującym na wykorzystanie domyślnego hasła i uzyskanie dostępu do interfejsu webowego.

CVE-2026-33478
Critical

AVideo to otwartoźródłowa platforma wideo, w której wersjach do 26.0 występuje wiele podatności w wtyczce CloneSite, umożliwiających nieautoryzowanemu atakującemu zdalne wykonanie kodu. Punkt końcowy `clones.json.php` ujawnia klucze tajne klonów bez autoryzacji, co pozwala na zrzut całej bazy danych zawierającej hashe haseł administratorów w formacie MD5.

PreviousPage 135 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS