CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-27028
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-24663
Critical

W wersji 1.12.1 i wcześniejszych XWEB Pro występuje podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu na systemie poprzez wysłanie spreparowanego żądania do trasy instalacji bibliotek i wstrzyknięcie złośliwego wejścia do ciała żądania.

CVE-2026-21718
Critical

W wersji 1.12.1 i wcześniejszych aplikacji Copeland XWEB Pro występuje luka umożliwiająca ominięcie wymagań dotyczących uwierzytelniania, co pozwala atakującym na wykonanie kodu przed uwierzytelnieniem na systemie.

CVE-2026-27772
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-27767
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-25851
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania.

CVE-2026-24731
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-20781
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-28215
Critical

Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.2.0, nieautoryzowany atakujący mógł nadpisać całą konfigurację infrastruktury samodzielnie hostowanej instancji Hoppscotch, w tym dane uwierzytelniające dostawców OAuth i ustawienia SMTP, wysyłając pojedyncze żądanie HTTP POST bez autoryzacji.

CVE-2026-28213
Critical

EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.

CVE-2026-22207
Critical

OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.

CVE-2026-27510
Critical

Oprogramowanie Unitree Go2 w wersjach 1.1.7 do 1.1.11, używane z aplikacją Android Unitree Go2, jest podatne na zdalne wykonanie kodu z powodu braku ochrony integralności i walidacji programów tworzonych przez użytkowników. Aplikacja przechowuje programy w lokalnej bazie danych SQLite i przesyła zawartość programu do robota, który wykonuje dostarczony kod Python bez weryfikacji.

CVE-2025-50857
Critical

ZenTaoPMS w wersjach od 18.11 do 21.6.beta jest podatny na atak typu Directory Traversal w pliku /module/ai/control.php. Umożliwia to atakującym wykonanie dowolnego kodu poprzez odpowiednio przygotowane przesłanie pliku.

CVE-2026-27975
Critical

Ajenti to modułowy panel administracyjny dla serwerów Linux i BSD. Przed wersją 2.2.13, nieautoryzowany użytkownik mógł uzyskać dostęp do serwera i wykonać dowolny kod na tym serwerze.

CVE-2026-27966
Critical

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.8.0 węzeł CSV Agent w Langflow ma na stałe ustawioną opcję `allow_dangerous_code=True`, co umożliwia atakującym wykonywanie dowolnych poleceń Python i OS na serwerze poprzez wstrzykiwanie poleceń, co prowadzi do pełnego zdalnego wykonania kodu (RCE). Wersja 1.8.0 naprawia ten problem.

CVE-2026-27965
Critical

Vitess to system klastrowania baz danych dla poziomego skalowania MySQL. W wersjach przed 23.0.3 i 22.0.4, każda osoba z dostępem do lokalizacji przechowywania kopii zapasowych (np. bucket S3) może manipulować plikami manifestu kopii zapasowej, co pozwala na wykonanie dowolnego kodu podczas przywracania tej kopii zapasowej.

CVE-2026-27941
Critical

OpenLIT to otwartoźródłowa platforma do inżynierii AI. W wersjach przed 1.37.1, kilka workflow GitHub Actions w repozytorium OpenLIT używało zdarzenia `pull_request_target`, co pozwalało na wykonywanie nieufnego kodu z forkowanych pull requestów z uprawnieniami repozytorium bazowego.

CVE-2026-27812
Critical

Sub2API to platforma bramy API AI, która zarządza limitami API z subskrypcji produktów AI. W wersjach przed 0.1.85 występuje podatność na manipulację linkiem resetowania hasła, co pozwala atakującym na wstrzyknięcie własnej domeny do linku, co może prowadzić do przejęcia konta.

CVE-2026-27809
Critical

W pakiecie psd-tools, używanym do pracy z plikami PSD Adobe Photoshop, przed wersją 1.12.2 występowała podatność związana z nieprawidłowymi danymi obrazu skompresowanymi RLE. W przypadku wystąpienia błędu ValueError podczas dekodowania, funkcja psd.composite() oraz eksport w psd-tools mogły ulegać awarii.

CVE-2026-27804
Critical

Parse Server prior to versions 8.6.3 and 9.1.1-alpha.4 is vulnerable to an attack where an unauthenticated attacker can forge a Google authentication token with 'alg: "none"', allowing them to log in as any user linked to a Google account without knowing their credentials.

PreviousPage 161 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS