CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-24838
Critical

DNN (wcześniej DotNetNuke) to otwartoźródłowa platforma zarządzania treścią w ekosystemie Microsoft. W wersjach przed 9.13.10 i 10.2.0 tytuł modułu wspierał richtext, co mogło prowadzić do wykonania skryptów w określonych scenariuszach. Wersje 9.13.10 i 10.2.0 zawierają poprawkę dla tego problemu.

CVE-2026-24785
Critical

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

CVE-2026-23830
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. Wersje przed 0.8.26 mają podatność na ucieczkę z sandboxa z powodu braku izolacji `AsyncFunction` w `SandboxFunction`, co pozwala na nieautoryzowany dostęp do globalnych funkcji.

CVE-2026-24740
Critical

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 9.0.3 występowała luka, która pozwalała użytkownikowi z ograniczeniami opartymi na etykietach uzyskać interaktywną powłokę root w kontenerach spoza zakresu, celując bezpośrednio w ich identyfikatory kontenerów.

CVE-2026-24736
Critical

Squidex to otwartoźródłowy system zarządzania treścią, który w wersjach do 7.21.0 pozwala użytkownikom definiować 'Webhooks' w silniku reguł. Parametr url w konfiguracji webhooka nie weryfikuje ani nie ogranicza adresów IP, co umożliwia wykorzystanie lokalnych adresów, takich jak 127.0.0.1. W momencie wyzwolenia reguły, serwer backendowy wykonuje żądanie HTTP do dostarczonego przez użytkownika URL, co prowadzi do ujawnienia pełnej odpowiedzi HTTP w logach wykonania reguły.

CVE-2025-21589
Critical

Podatność typu Bypass uwierzytelnienia w routerze Session Smart firmy Juniper Networks pozwala atakującemu z sieci na ominięcie uwierzytelnienia i przejęcie kontroli administracyjnej nad urządzeniem. Dotyczy to różnych wersji routerów i conductorów Session Smart oraz routerów zarządzanych WAN Assurance.

CVE-2026-24858
CriticalActively exploitedEPSS 90%

In Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy, and FortiWeb, there is an authentication bypass vulnerability that allows an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts if FortiCloud SSO authentication is enabled on those devices.

CVE-2026-22039
Critical

Kyverno, silnik polityk dla zespołów inżynieryjnych platform chmurowych, ma krytyczną lukę w autoryzacji w wersjach przed 1.16.3 i 1.15.3. Umożliwia ona użytkownikom z odpowiednimi uprawnieniami do tworzenia polityk w przestrzeni nazw na wykonywanie żądań API Kubernetes z tożsamością kontrolera przyjęć Kyverno, co narusza izolację przestrzeni nazw.

CVE-2025-69564
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExAddNewUser.php. Wrażliwe parametry to Name, Address, email, UserName, Password, confirm_password, Role, Branch oraz Activate.

CVE-2025-69563
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExLogin.php poprzez parametr Password.

CVE-2025-69562
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /insertmessage.php poprzez parametr userid.

CVE-2025-69559
Critical

System księgarni komputerowej code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku admin_add.php. Umożliwia to nieautoryzowanym użytkownikom przesyłanie złośliwych plików na serwer.

CVE-2026-24874
Critical

Podatność typu 'Type Confusion' w xray-monolith umożliwia dostęp do zasobów przy użyciu niekompatybilnego typu. Problem ten dotyczy wersji xray-monolith przed 30 grudnia 2025 roku.

CVE-2026-24872
Critical

Podatność CVE-2026-24872 dotyczy niewłaściwej arytmetyki wskaźników w projekcie ProjectSkyfire w wersji SkyFire_548 przed 5.4.8-stable5. Może to prowadzić do nieprzewidzianych zachowań aplikacji.

CVE-2026-24832
Critical

W podatności CVE-2026-24832 występuje błąd zapisu poza granicami w ixray-team ixray-1.6-stcop, który dotyczy wersji przed 1.3. Może to prowadzić do nieautoryzowanego dostępu do pamięci.

CVE-2025-69565
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku /ExAddProduct.php.

CVE-2025-68670
Critical

xrdp to otwartoźródłowy serwer RDP. W wersjach przed 0.10.5 występuje podatność na przepełnienie bufora na stosie, wynikająca z niewłaściwego sprawdzania granic podczas przetwarzania informacji o domenie użytkownika. W przypadku wykorzystania tej podatności, zdalni atakujący mogą wykonać dowolny kod na docelowym systemie.

CVE-2021-47901
Critical

Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.

CVE-2021-47900
Critical

Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.

CVE-2020-36948
Critical

VestaCP w wersji 0.9.8-26 zawiera podatność na token sesji w module LoginAs, która pozwala zdalnym atakującym na manipulację tokenami uwierzytelniającymi. Atakujący mogą wykorzystać niewystarczającą walidację tokenów do uzyskania dostępu do kont użytkowników i wykonywania nieautoryzowanych żądań logowania bez odpowiednich uprawnień administracyjnych.

PreviousPage 184 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS