CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-2330
Critical

Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.

CVE-2026-29183
Critical

SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.

CVE-2026-29065
Critical

changedetection.io to darmowe narzędzie open source do wykrywania zmian na stronach internetowych. Przed wersją 0.54.4 istniała podatność Zip Slip w funkcjonalności przywracania kopii zapasowych, która pozwalała na nadpisywanie dowolnych plików poprzez przejście ścieżki w przesyłanych archiwach ZIP.

CVE-2026-29058
Critical

AVideo to oprogramowanie platformy do udostępniania wideo. Przed wersją 7.0, nieautoryzowany atakujący mógł wykonać dowolne polecenia systemowe na serwerze poprzez wstrzyknięcie substytucji polecenia powłoki do parametru GET base64Url. Może to prowadzić do pełnego kompromitacji serwera, wycieku danych oraz zakłócenia usług.

CVE-2026-29042
Critical

Nuclio to framework 'Serverless' do przetwarzania zdarzeń i danych w czasie rzeczywistym. W wersjach przed 1.15.20 komponent Nuclio Shell Runtime zawierał podatność na wstrzyknięcie poleceń, ponieważ przetwarzał argumenty dostarczane przez użytkownika bez walidacji lub sanitizacji.

CVE-2026-28802
Critical

Authlib library versions 1.6.5 to 1.6.6 incorrectly validate JWT tokens with 'alg: none' and an empty signature, passing them despite an expected failure. The vulnerability is fixed in version 1.6.7.

CVE-2026-28795
Critical

OpenChatBI to inteligentne narzędzie BI oparte na czacie, które umożliwia użytkownikom zadawanie pytań, analizowanie i wizualizowanie danych za pomocą naturalnych rozmów. Przed wersją 0.2.2 narzędzie save_report w pliku openchatbi/tool/save_report.py ma krytyczną podatność na przejście ścieżki z powodu niewystarczającej sanitacji wejścia parametru file_format.

CVE-2026-28438
Critical

CocoIndex to framework do transformacji danych dla AI. Przed wersją 0.3.34, konektor docelowy Doris nie weryfikował skonfigurowanej nazwy tabeli przed tworzeniem niektórych instrukcji SQL (ALTER TABLE), co prowadziło do podatności na wstrzykiwanie SQL, jeśli nazwa tabeli była dostarczana przez niezaufane źródło.

CVE-2026-2446
Critical

Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.

CVE-2026-28794
Critical

W narzędziu oRPC, które służy do budowy API zgodnych z OpenAPI, przed wersją 1.13.6 występowała podatność na zanieczyszczenie prototypu w deserializerze JSON RPC pakietu @orpc/client. Ta podatność pozwalała nieautoryzowanym, zdalnym atakującym na wstrzykiwanie dowolnych właściwości do globalnego Object.prototype.

CVE-2026-28785
Critical

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.

CVE-2026-28680
Critical

Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.245.0, atakujący mógł wykorzystać funkcję ręcznego importu aktywów do przeprowadzenia pełnego odczytu SSRF, co pozwalało na eksfiltrację wrażliwych metadanych chmurowych (IMDS) lub skanowanie wewnętrznych usług sieciowych.

CVE-2026-27005
Critical

Chartbrew to aplikacja webowa typu open-source, która może łączyć się bezpośrednio z bazami danych i API, wykorzystując dane do tworzenia wykresów. Przed wersją 4.8.3, nieautoryzowany atakujący mógł wstrzyknąć dowolne zapytanie SQL do zapytań wykonywanych na bazach danych połączonych z Chartbrew (MySQL, PostgreSQL).

CVE-2026-28501
Critical

AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.

CVE-2026-28497
Critical

TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Przed wersją 2.03 występuje podatność na przepełnienie całkowitej liczby w procedurze konwersji ciągu na liczbę (_Val), co pozwala nieautoryzowanemu zdalnemu atakującemu na obejście ograniczeń Content-Length i przeprowadzenie ataku HTTP Request Smuggling.

CVE-2025-59543
Critical

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript do opisu kursu, co umożliwiało wykonanie tego kodu w kontekście innych użytkowników, w tym administratorów.

CVE-2025-59542
Critical

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript, co mogło prowadzić do przejęcia konta użytkowników o wyższych uprawnieniach.

CVE-2026-28710
Critical

Podatność CVE-2026-28710 dotyczy ujawnienia i manipulacji wrażliwymi informacjami z powodu niewłaściwej autoryzacji. Dotyczy to produktów Acronis Cyber Protect 17 (Linux, Windows) przed wersją 41186.

CVE-2026-22552
Critical

WebSocket endpoints lack proper authentication mechanisms, allowing attackers to impersonate stations and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known charging station identifier.

CVE-2026-21536
Critical

Podatność w programie cenowym urządzeń Microsoft umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.

PreviousPage 150 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS