CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-30702
Critical

Wzmacniacz WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) posiada wadliwy mechanizm uwierzytelniania w swoim interfejsie zarządzania przez sieć. Strona logowania nie wymusza prawidłowej walidacji sesji, co pozwala atakującym na ominięcie uwierzytelnienia poprzez bezpośredni dostęp do zastrzeżonych punktów końcowych aplikacji webowej.

CVE-2026-30701
Critical

Interfejs webowy wzmacniacza WiFi WDR201A (HW V2.1, FW LFMZX28040922V1.02) zawiera mechanizmy ujawniania twardo zakodowanych poświadczeń w wielu stronach serwera, w tym login.shtml i settings.shtml. Strony te osadzają dyrektywy wykonawcze po stronie serwera, które dynamicznie pobierają i ujawniają hasło administracyjne z pamięci nieulotnej w czasie rzeczywistym.

CVE-2026-29859
Critical

W aaPanel w wersji 7.57.0 występuje podatność na przesyłanie dowolnych plików, która pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie odpowiednio przygotowanego pliku.

CVE-2025-67830
Critical

Mura w wersjach przed 10.1.14 umożliwia wstrzyknięcie SQL poprzez parametr sortby w pliku beanFeed.cfc w metodzie getQuery.

CVE-2025-67829
Critical

Mura w wersjach przed 10.1.14 umożliwia wstrzyknięcie SQL poprzez parametr sortDirection w pliku beanFeed.cfc w metodzie getQuery.

CVE-2026-25449
Critical

Podatność na deserializację niezaufanych danych w shinetheme Traveler umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Traveler od n/a do < 3.2.8.1.

CVE-2026-31938
Critical

jsPDF library prior to version 4.2.1 is vulnerable to HTML injection (including scripts) via user control of the `options` argument in the `output` function. An attacker can supply malicious values that, when the PDF is generated and opened in the victim's browser, execute in the victim's browser context.

CVE-2026-30884
Critical

Wtyczka mdjnelson/moodle-mod_customcert dla Moodle umożliwia tworzenie dynamicznie generowanych certyfikatów z pełną personalizacją przez przeglądarkę. W wersjach przed 4.4.9 i 5.0.3 nauczyciel posiadający uprawnienia `mod/customcert:manage` w jednym kursie może odczytać i cicho nadpisać elementy certyfikatu należące do innego kursu w instalacji Moodle.

CVE-2026-27459
Critical

A vulnerability in pyOpenSSL versions 22.0.0 through 25.x allows a buffer overflow in OpenSSL when the `set_cookie_generate_callback` returns a cookie value longer than 256 bytes. The issue is fixed in version 26.0.0 by rejecting overly long cookie values.

CVE-2026-21994
Critical

Podatność w produkcie Oracle Edge Cloud Infrastructure Designer i Visualisation Toolkit, wersja 0.3.0, umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP przejęcie kontroli nad tym narzędziem. Atakujący może łatwo wykorzystać tę podatność.

CVE-2026-3207
Critical

Problem z konfiguracją w Java Management Extensions (JMX) w wersji 4.x TIBCO BPM umożliwia nieautoryzowany dostęp.

CVE-2026-32298
Critical

KVM Angeet ES3 nieprawidłowo sanitizuje zmienne dostarczane przez użytkownika, które są analizowane przez skrypt 'cfg.lua'. To pozwala uwierzytelnionemu atakującemu na wykonanie poleceń na poziomie systemu operacyjnego.

CVE-2026-25770
Critical

W Wazuh, od wersji 3.9.0 do 4.14.3, występuje podatność na eskalację uprawnień w protokole synchronizacji klastra. Usługa `wazuh-clusterd` pozwala uwierzytelnionym węzłom na zapisywanie dowolnych plików w systemie plików menedżera z uprawnieniami użytkownika `wazuh`, co może prowadzić do złośliwego wstrzyknięcia komend.

CVE-2026-25769
Critical

Wazuh to darmowa i otwarta platforma służąca do zapobiegania, wykrywania i reagowania na zagrożenia. W wersjach od 4.0.0 do 4.14.2 występuje podatność na zdalne wykonanie kodu (RCE) spowodowana deserializacją niezaufanych danych, co wpływa na wszystkie wdrożenia Wazuh w trybie klastrowym.

CVE-2026-25534
Critical

Spinnaker zaktualizował logikę walidacji URL, jednak nie uwzględnił, że obiekty URL w Javie nieprawidłowo obsługują znaki podkreślenia. To doprowadziło do obejścia wcześniejszej podatności (CVE-2025-61916) poprzez starannie skonstruowane URL-e.

CVE-2026-3564
Critical

A vulnerability in the ScreenConnect server component allows an actor with access to server-level cryptographic material used for authentication to obtain unauthorized access, including elevated privileges, in certain scenarios. ScreenConnect host and guest client agents are not independently affected by this CVE.

CVE-2026-4312
Critical

Oprogramowanie audytowe GCB/FCB opracowane przez DrangSoft ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym atakującym zdalnym na bezpośredni dostęp do niektórych interfejsów API w celu utworzenia nowego konta administracyjnego.

CVE-2026-4177
Critical

The YAML::Syck library up to version 1.36 for Perl contains several potential security vulnerabilities, including a high-severity heap buffer overflow in the YAML emitter. The overflow occurs when class names exceed the initial 512-byte allocation.

CVE-2025-69902
Critical

W komponentach minimal_wrapper.py w kubectl-mcp-server w wersji 1.2.0 występuje podatność na wstrzykiwanie poleceń, która pozwala atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie metaznaków powłoki.

CVE-2026-32267
Critical

Craft CMS to system zarządzania treścią (CMS). W wersjach od 4.0.0-RC1 do przed 4.17.6 oraz od 5.0.0-RC1 do przed 5.9.12, użytkownik o niskich uprawnieniach (lub nieautoryzowany użytkownik, który otrzymał udostępniony URL) może podnieść swoje uprawnienia do poziomu administratora, wykorzystując metodę UsersController->actionImpersonateWithToken. Problem został naprawiony w wersjach 4.17.6 i 5.9.12.

PreviousPage 141 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS