CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.01)

CVE-2026-45278
Low

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 6.1.0 do przed 8.2.2, atakujący może stworzyć linki, które przekierowują użytkowników na inną stronę, gdy ofiara loguje się za pomocą linku atakującego przez OIDC. Problem został naprawiony w wersji 8.2.2.

CVE-2026-45277
Low

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. Przed wersją 2.7.2 uwierzytelnieni użytkownicy mogli sprawdzić, czy dowolne pliki są powiązane z określonymi procesami zatwierdzania, w ramach których mogli żądać zatwierdzenia. Problem ten został naprawiony w wersji 2.7.2.

CVE-2026-30963
Low

Capsule to framework wielo-tenantowy dla Kubernetes, który wykorzystuje webhook do weryfikacji żądań aktualizacji przestrzeni nazw. W wersjach przed 0.13.0 brakowało reguł przechwytywania dla subzasobów namespace/finalize i namespace/status, co umożliwiało przejęcie przestrzeni nazw przez administratora tenantów.

CVE-2026-45266
Low

Nextcloud to platforma do współpracy nad treścią typu open source. Przed wersjami 21.1.10, 22.0.11 i 23.0.3, użytkownik o niskich uprawnieniach mógł wymusić wyciszenie mikrofonów innych użytkowników podczas rozmów, gdy nie był zainstalowany High-performance Backend. Problem został naprawiony w wersjach 21.1.10, 22.0.11 i 23.0.3.

CVE-2026-45159
Low

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.15.0 do przed 1.15.4, 1.16.0 do przed 1.16.3, 1.17.0 do przed 1.17.1 oraz 1.18.0 do przed 1.18.1, złośliwy użytkownik mający dostęp do linku do przesyłania plików szyfrowanych end-to-end mógł również przesyłać pliki do innych folderów szyfrowanych end-to-end właściciela udostępnienia. Odczyt i modyfikacja innych plików nie były możliwe.

CVE-2026-45155
Low

W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.7 oraz od 33.0.0 do przed 33.0.1 występuje brak weryfikacji dostępu na poziomie API, co pozwala na dodawanie nieznanych kręgów za pomocą ich identyfikatorów do innych kręgów. Choć złożoność identyfikatorów kręgów wynosi domyślnie 62^15, co utrudnia ich wykorzystanie, to w przypadku uzyskania dostępu do identyfikatora z innego źródła, członkostwa mogą być śledzone.

CVE-2026-45154
Low

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 2.6.0 do przed 4.3.0, po usunięciu wcześniejszych stron zbiorowych, goście z dostępem do zbioru mogli uzyskać dostęp do usuniętych stron bezpośrednio z kosza.

CVE-2026-10268
Low

Zidentyfikowano słabość w janet-lang janet do wersji 1.41.0, która dotyczy funkcji unmarshal_one_fiber w pliku src/core/marsh.c. Wykonanie manipulacji może prowadzić do przepełnienia całkowitego.

CVE-2026-10267
Low

W języku janet do wersji 1.41.0 odkryto lukę bezpieczeństwa w funkcji doframe w pliku src/core/debug.c. Manipulacja tą funkcją prowadzi do odczytu poza przydzielonym zakresem pamięci. Atak wymaga lokalnego dostępu.

CVE-2026-10264
Low

Wykryto podatność w lharries whatsapp-mcp w wersji 0.0.1, dotycząca funkcji SendMessageRequest w pliku whatsapp-bridge/main.go komponentu Send API Endpoint. Manipulacja argumentem mediaPath prowadzi do ataku typu path traversal.

CVE-2026-10532
Low

Podatność na deserializację niezaufanych danych w logback-core (HardenedObjectInputStream) umożliwia atakującemu wstrzyknięcie obiektów Proxy, jeśli ma wpływ na serializowane dane wysyłane do SimpleSocketServer lub SimpleSSLSocketServer. Mimo że deserializacja jest mocno ograniczona, problem ten stanowi obejście zamierzonych zabezpieczeń.

CVE-2026-10247
Low

W systemie zarządzania sprzedażą i zapasami SourceCodester Pharmacy Sales and Inventory System w wersji 1.0 odkryto podatność. Dotyczy ona funkcji create_generic_name w pliku /ShowForm/create_generic_name/main, gdzie manipulacja argumentem generic_name prowadzi do ataku typu cross-site scripting.

CVE-2026-10246
Low

W systemie zarządzania sprzedażą i zapasami apteki SourceCodester w wersji 1.0 odkryto podatność. Dotyczy ona funkcji create_medicine_presentation w pliku /ShowForm/create_medicine_presentation/main, gdzie manipulacja argumentem medicine_presentation prowadzi do ataku typu cross site scripting.

CVE-2026-10245
Low

W systemie zarządzania sprzedażą i zapasami SourceCodester Pharmacy Sales and Inventory System w wersji 1.0 znaleziono lukę. Problem dotyczy funkcji create_supplier w pliku /ShowForm/create_supplier/main, gdzie manipulacja argumentem company_name może prowadzić do ataku typu cross-site scripting.

CVE-2026-10244
Low

W systemie zarządzania sprzedażą i zapasami apteki SourceCodester w wersji 1.0 wykryto podatność. Funkcja create_medicine_name w pliku /ShowForm/create_medicine_name/main jest podatna na atak typu cross site scripting (XSS) poprzez manipulację argumentem medicine_name.

CVE-2026-45426
Low

Wykorzystanie tej podatności wymaga, aby atakujący był już uwierzytelnionym pracownikiem Airflow posiadającym ważny token JWT wydany dla przynajmniej jednego Dag. Serwer logów Apache Airflow autoryzuje tokeny JWT na podstawie identyfikatorów Dag, co może prowadzić do nieautoryzowanego dostępu do logów innych Dagów.

CVE-2026-40963
Low

Endpoint structure_data w interfejsie Airflow zwracał węzły zewnętrznych zależności grafu dla powiązanych Dagów, nie sprawdzając, czy wywołujący ma uprawnienia do odczytu tych powiązanych Dagów. Użytkownik autoryzowany do jednego Daga mógł enumerować identyfikatory powiązanych Dagów oraz metadane zależności dla innych Dagów, do których nie miał uprawnień.

CVE-2026-10234
Low

Wykryto podatność w Mettle sendportal do wersji 3.0.1, która dotyczy nieznanej części pliku /webview/ komponentu Campaign Handler. Manipulacja argumentem 'content' prowadzi do ataku typu cross-site scripting.

CVE-2026-10233
Low

Wykryto podatność w Assimp do wersji 6.0.4, dotycząca funkcji HL1MDLLoader::read_sequence_infos w pliku HL1MDLLoader.cpp. Manipulacja argumentem aiString prowadzi do odczytu poza przydzielonym zakresem pamięci.

CVE-2026-10228
Low

W systemie zarządzania studentami raisulislamg4 znaleziono podatność, która dotyczy nieznanej funkcji w pliku admission_form_check.php. Manipulacja argumentem Message prowadzi do ataku typu cross-site scripting (XSS), który może być przeprowadzony zdalnie.

PreviousPage 16 of 60Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS