CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera słabą podatność na generowanie identyfikatorów sesji, co pozwala atakującym na fałszowanie uwierzytelnionych sesji poprzez obliczanie przewidywalnych ciasteczek opartych na MD5. Atakujący, którzy znają lub zgadują ważne dane logowania, mogą obliczyć identyfikator sesji offline i ominąć proces uwierzytelniania.
Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia zdalnym atakującym uzyskanie dostępu administracyjnego do interfejsu zarządzania. Atakujący mogą uwierzytelnić się za pomocą wbudowanych domyślnych danych bez wymogu zmiany hasła, co pozwala na pełną kontrolę administracyjną nad urządzeniem.
A NestJS application using @nestjs/platform-fastify may allow bypass of authentication/authorization middleware when Fastify path-normalization options are enabled. This vulnerability affects NestJS version 11.1.13.
Podatność CVE-2026-2750 dotyczy niewłaściwej walidacji danych wejściowych w module Centreon Open Tickets na Central Server w systemie Linux. Problem ten dotyczy wersji Centreon Open Tickets przed 25.10, 24.10 oraz 24.04.
Podatność w module Centreon Open Tickets na Centralnym Serwerze w systemie Linux. Problem dotyczy wersji przed 25.10.3, 24.10.8 oraz 24.04.7.
W podatności CVE-2025-11252 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Windesk.Fm firmy Signum Technology Promotion and Training Inc. Problem dotyczy wersji przed 2.3.4.
PluXml CMS allows a user's session identifier to be set before authentication, enabling an attacker to hijack the session after authentication. The session ID remains unchanged after authentication, creating a risk of session takeover.
W podatności CVE-2025-11251 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w platformie e-commerce firmy Dayneks Software Industry and Trade Inc. Problem ten dotyczy platformy e-commerce do 27 lutego 2026 roku.
W wersji 10.22 i wcześniejszych oprogramowania Frick Controls Quantum HD występuje podatność związana z twardo zakodowanymi danymi logowania do e-maila, które są przechowywane w postaci niezaszyfrowanej. Może to prowadzić do nieautoryzowanego dostępu oraz ujawnienia wrażliwych informacji.
Podatność CVE-2026-21659 dotyczy braku uwierzytelnienia, co pozwala na zdalne wykonanie kodu oraz ujawnienie informacji poprzez lokalne włączenie pliku (LFI) w urządzeniach Johnson Controls Frick Controls Quantum HD. Atakujący bez uwierzytelnienia może wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnego kompromitacji systemu.
Podatność CVE-2026-2251 dotyczy niewłaściwego ograniczenia ścieżki do zastrzeżonego katalogu w Xerox FreeFlow Core, co umożliwia nieautoryzowane przechodzenie przez ścieżki i prowadzi do zdalnego wykonania kodu (RCE). Problem ten dotyczy wersji Xerox FreeFlow Core do 8.0.7 włącznie.
Podatność CVE-2026-21658 dotyczy niewłaściwej kontroli generacji kodu w systemie Johnson Controls Frick Controls Quantum HD, co pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem uwierzytelnienia.
Podatność typu 'Code Injection' w systemie Johnson Controls Frick Controls Quantum HD pozwala na wstrzykiwanie kodu. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem autoryzacji.
Podatność CVE-2026-21656 dotyczy niewłaściwej kontroli generowania kodu ('wstrzykiwanie kodu') w systemie Frick Controls Quantum HD firmy Johnson Controls. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może umożliwić nieoczekiwane działania, które mogą wpłynąć na bezpieczeństwo urządzenia przed wystąpieniem autoryzacji.
Podatność CVE-2026-21654 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego w urządzeniach Johnson Controls Frick Controls Quantum HD. Niedostateczna walidacja danych wejściowych w niektórych parametrach może umożliwić wykonanie nieoczekiwanych działań, co może wpłynąć na bezpieczeństwo urządzenia przed autoryzacją.
Motyw Listee dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z błędnego sprawdzenia walidacji w funkcji rejestracji użytkowników w wtyczce listee-core, która nieprawidłowo sanitizuje parametr user_role.
W urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305 odkryto lukę bezpieczeństwa w funkcji setWebWlanIdx pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem webWlanIdx prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W parserze zapytań w OpenStack Vitrage przed wersjami 12.0.1, 13.0.0, 14.0.0 i 15.0.0, użytkownik mający dostęp do API Vitrage może wywołać wykonanie kodu na hoście usługi Vitrage jako użytkownik, pod którym działa ta usługa. Może to prowadzić do nieautoryzowanego dostępu do hosta i dalszego kompromitowania usługi Vitrage.
W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.
Podatność typu przepełnienie bufora na stosie w systemie ThinkWise firmy SimTech Systems, Inc. umożliwia zdalne włączenie kodu. Problem ten dotyczy wersji ThinkWise od 7 do 23.

