CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2020-36941
Critical

Knockpy w wersji 4.1.1 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wstrzykiwanie złośliwych formuł do raportów CSV poprzez nieprzefiltrowane nagłówki serwera. Atakujący mogą manipulować nagłówkami odpowiedzi serwera, aby zawierały formuły arkusza kalkulacyjnego, które zostaną wykonane po otwarciu CSV w aplikacjach arkuszy kalkulacyjnych.

CVE-2020-36940
Critical

Easy CD & DVD Cover Creator w wersji 4.13 zawiera podatność na przepełnienie bufora w polu wprowadzania numeru seryjnego, co pozwala atakującym na awarię aplikacji. Atakujący mogą wygenerować 6000-bajtowy ładunek i wkleić go do pola numeru seryjnego, co prowadzi do awarii aplikacji.

CVE-2026-24830
Critical

W podatności CVE-2026-24830 występuje przepełnienie lub owinięcie liczb całkowitych w systemie Ralim IronOS, które dotyczy wersji przed v2.23-rc2.

CVE-2026-24346
Critical

Wykorzystanie znanych domyślnych poświadczeń w interfejsie administracyjnym EZCast Pro II w wersji 1.17478.146 umożliwia atakującym dostęp do chronionych obszarów aplikacji webowej.

CVE-2026-24811
Critical

Podatność w projekcie root (moduły builtins/zlib) związana z plikami programowymi inffast.C. Problem ten dotyczy oprogramowania root.

CVE-2026-24793
Critical

Podatność CVE-2026-24793 dotyczy błędu zapisu poza granicami w module zlib w azerothcore-wotlk, co prowadzi do klasycznego przepełnienia bufora. Problem ten występuje w plikach programu inflate.C i dotyczy wersji azerothcore-wotlk do v4.0.0.

CVE-2026-24479
Critical

HUSTOF to otwartoźródłowy system oceny online oparty na PHP/C++/MySQL/Linux, używany w treningach ACM/ICPC i NOIP. W wersjach przed 26.01.24 moduły problem_import_qduoj.php i problem_import_hoj.php nieprawidłowo sanitizują nazwy plików w przesyłanych archiwach ZIP, co umożliwia atakującym wykonanie złośliwego kodu.

CVE-2026-24400
Critical

W wersjach od 1.4.0 do 3.27.7 biblioteki AssertJ występuje podatność typu XML External Entity (XXE) w metodzie `toXmlDocument(String)` klasy `XmlStringPrettyFormatter`. Problem polega na tym, że `DocumentBuilderFactory` jest inicjowany z domyślnymi ustawieniami, co nie wyłącza DTD ani zewnętrznych encji.

CVE-2026-22709
Critical

vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.

CVE-2025-70982
Critical

Wersja 4.5.0 SpringBlade zawiera nieprawidłowe zabezpieczenia dostępu w funkcji importUser, co pozwala atakującym z niskimi uprawnieniami na dowolne importowanie wrażliwych danych użytkowników.

CVE-2025-13374
Critical

Wtyczka Kalrav AI Agent dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w akcji AJAX kalrav_upload_file we wszystkich wersjach do i włącznie z 2.3.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-24399
Critical

ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.

CVE-2026-22586
Critical

A hard-coded cryptographic key vulnerability in Salesforce Marketing Cloud Engagement allows for web services protocol manipulation. This issue affects modules such as CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, and View As Webpage.

CVE-2026-22585
Critical

Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w Salesforce Marketing Cloud Engagement umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy modułów takich jak CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage i występuje przed 21 stycznia 2026 roku.

CVE-2026-22583
Critical

Podatność CVE-2026-22583 dotyczy niewłaściwej neutralizacji ograniczników argumentów w komendzie, co prowadzi do możliwości manipulacji protokołem usług internetowych w module CloudPagesUrl Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 21 stycznia 2026 roku.

CVE-2026-22582
Critical

Podatność CVE-2026-22582 dotyczy niewłaściwej neutralizacji ograniczników argumentów w module MicrositeUrl Salesforce Marketing Cloud Engagement, co umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy wersji Marketing Cloud Engagement przed 21 stycznia 2026 roku.

CVE-2025-52025
Critical

An SQL Injection vulnerability in the GetServiceByRestaurantID endpoint of the Aptsys gemscms POS Platform (up to 2025-05-28) allows an attacker to inject and execute arbitrary SQL code via the id parameter due to lack of input sanitization and parameterization.

CVE-2025-52024
Critical

A vulnerability in the Aptsys POS Platform Web Services module through 2025-05-28 exposes internal API testing tools to unauthenticated users. By accessing specific URLs, an attacker sees a directory index listing all backend and POS web services, each with an HTML form for test input. These developer panels are accessible in production without authentication.

CVE-2025-70983
Critical

Wersja 4.5.0 SpringBlade zawiera błąd w kontroli dostępu w funkcji authRoutes, który pozwala atakującym z niskimi uprawnieniami na eskalację uprawnień.

CVE-2026-24423
Critical

Wersje SmarterTools SmarterMail przed wersją 9511 zawierają podatność na zdalne wykonanie kodu bez uwierzytelnienia w metodzie API ConnectToHub. Atakujący może skierować SmarterMail na złośliwy serwer HTTP, który dostarcza złośliwe polecenie systemowe, które zostanie wykonane przez podatną aplikację.

PreviousPage 185 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS