CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-56422
CriticalEPSS 54%

A deserialization vulnerability in LimeSurvey before v6.15.0+250623 allows a remote attacker to execute arbitrary code on the server.

CVE-2025-41709
Critical

Nieautoryzowany zdalny atakujący może przeprowadzić atak typu injection komend poprzez Modbus-TCP lub Modbus-RTU, co pozwala na uzyskanie dostępu do odczytu i zapisu na podatnym urządzeniu.

CVE-2025-40943
Critical

Urządzenia dotknięte tą podatnością nieprawidłowo oczyszczają zawartość plików śledzenia. Może to umożliwić atakującemu wstrzyknięcie kodu poprzez inżynierię społeczną autoryzowanego użytkownika, który ma prawo do funkcji 'Odczyt diagnostyki', aby zaimportować specjalnie przygotowany plik śledzenia.

CVE-2026-30921
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.20, syntetyczne monitory OneUptime pozwalały użytkownikom o niskich uprawnieniach na przesyłanie niestandardowego kodu Playwright, który był wykonywany na usłudze oneuptime-probe, co prowadziło do możliwości zdalnego wykonania kodu (RCE).

CVE-2026-30887
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.18, OneUptime pozwala członkom projektu na uruchamianie niestandardowego kodu Playwright/JavaScript za pomocą Synthetic Monitors, co prowadzi do możliwości wykonania nieautoryzowanych poleceń systemowych z powodu niebezpiecznego wykonania kodu w module Node.js.

CVE-2026-30869
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.10 występuje podatność na traversję ścieżek w punkcie końcowym /export, która pozwala atakującemu na odczyt dowolnych plików z systemu plików serwera.

CVE-2026-30862
Critical

W aplikacji Appsmith, przed wersją 1.96, występowała krytyczna podatność typu Stored XSS w widżecie tabeli (TableWidgetV2). Przyczyną jest brak sanitizacji HTML w procesie renderowania komponentu React, co pozwala na wstrzykiwanie złośliwych atrybutów do DOM.

CVE-2026-27685
Critical

SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy uprzywilejowany użytkownik przesyła nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do poważnego wpływu na poufność, integralność i dostępność systemu gospodarza.

CVE-2026-0953
Critical

Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.

CVE-2025-11158
Critical

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to RCE.

CVE-2026-31816
Critical

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.4 i wcześniejszych, middleware authorized() serwera Budibase, który chroni każdy punkt końcowy API po stronie serwera, może być całkowicie ominięty przez dodanie wzoru ścieżki webhooka do ciągu zapytania w dowolnym żądaniu.

CVE-2026-30240
Critical

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.5 i wcześniejszych występuje podatność na traversję ścieżek w punkcie końcowym przetwarzania ZIP PWA, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami twórcy na odczyt dowolnych plików z systemu plików serwera.

CVE-2025-70039
Critical

W linagora Twake v2023.Q1.1223 zidentyfikowano problem związany z CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego. Problem ten może prowadzić do wykonania nieautoryzowanych poleceń.

CVE-2025-70046
Critical

W Miazzy oa-front-service master odkryto problem związany z CWE-829: Włączenie funkcjonalności z nieufnej sfery kontrolnej.

CVE-2025-70042
Critical

W systemie oslabs-beta ThermaKube master odkryto problem związany z CWE-918: Fałszywe żądanie serwera. Ta podatność może umożliwić atakującemu manipulację żądaniami wysyłanymi przez serwer.

CVE-2025-40639
Critical

W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

CVE-2026-24713
Critical

W Apache IoTDB występuje podatność związana z niewłaściwą walidacją danych wejściowych. Dotyczy to wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7.

CVE-2026-24015
Critical

Podatność w Apache IoTDB dotyczy wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7. Użytkownicy powinni zaktualizować swoje oprogramowanie do wersji 1.3.7 lub 2.0.7, aby usunąć problem.

CVE-2025-41765
Critical

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupload.cgi do przesyłania i stosowania dowolnych danych. Może to obejmować m.in. obrazy kontaktów, certyfikaty HTTPS, kopie zapasowe systemu, konfiguracje serwera oraz certyfikaty i klucze BACnet/SC.

CVE-2025-41764
Critical

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupdate.cgi do przesyłania i stosowania dowolnych aktualizacji.

PreviousPage 148 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS