CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
W Dynamicweb przed wersją 9.12.8 odkryto problem, który pozwala atakującemu na dodanie nowego użytkownika administratora bez autoryzacji. Wadliwość ta wynika z błędu logicznego przy określaniu, czy etapy konfiguracji produktu mogą być uruchamiane ponownie.
Unified Remote w wersji 3.9.0.2463 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wysyłanie spreparowanych pakietów sieciowych w celu wykonania dowolnych poleceń. Atakujący mogą wykorzystać tę podatność, łącząc się z portem 9512 i wysyłając specjalnie przygotowane pakiety.
W wersji 1.4.0 Free5gc NRF odkryto problem w logice generowania tokenów dostępu. Funkcja AccessTokenScopeCheck() w pliku internal/sbi/processor/access_token.go omija wszelką walidację zakresu, gdy atakujący użyje spreparowanej wartości targetNF, co pozwala na uzyskanie tokena dostępu z dowolnym zakresem.
Podatność CVE-2025-4320 dotyczy mechanizmu odzyskiwania hasła w oprogramowaniu Sufirmam firmy Birebirsoft, który umożliwia obejście uwierzytelniania. Słaby mechanizm odzyskiwania hasła dla zapomnianego hasła stwarza możliwość wykorzystania tej luki.
Podatność w oprogramowaniu Sufirmam firmy Birebirsoft Software and Technology Solutions polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia oraz słabym mechanizmie odzyskiwania hasła. Umożliwia to ataki typu brute force oraz wykorzystanie mechanizmu odzyskiwania hasła.
IAQS i I6 opracowane przez JNC mają lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na bezpośrednie korzystanie z funkcji administracyjnych systemu.
IAQS i I6 opracowane przez JNC mają podatność na wymuszanie zabezpieczeń po stronie serwera z poziomu klienta, co pozwala nieautoryzowanym atakującym zdalnym na uzyskanie uprawnień administratora poprzez manipulację interfejsem webowym.
Podatność CVE-2026-0794 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku walidacji istnienia obiektu przed wykonaniem operacji na nim w kontekście obsługi połączeń SIP.
Podatność CVE-2026-0793 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora w pamięci dynamicznej, co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji długości danych dostarczanych przez użytkownika przed ich skopiowaniem do bufora.
Podatność CVE-2026-0792 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora na stosie w trakcie obsługi nagłówka Alert-Info w żądaniach SIP INVITE. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na podatnych instalacjach bez potrzeby uwierzytelnienia.
Podatność CVE-2026-0791 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z niewłaściwego sprawdzania długości danych dostarczanych przez użytkownika w nagłówku Replaces żądania SIP INVITE.
Podatność CVE-2026-0787 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0773 w Upsonic umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem występuje w punkcie końcowym add_tool, który domyślnie nasłuchuje na porcie TCP 7541, a jego przyczyną jest brak odpowiedniej walidacji danych dostarczanych przez użytkowników.
Podatność CVE-2026-0770 w Langflow pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem dotyczy parametru exec_globals przekazywanego do punktu końcowego validate, co prowadzi do włączenia zasobu z nieufnej sfery kontrolnej.
Podatność CVE-2026-0769 dotyczy funkcji eval_custom_component_code w Langflow, która pozwala na zdalne wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania kodu Pythona.
Podatność CVE-2026-0768 dotyczy Langflow i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.
Podatność CVE-2026-0764 dotyczy deserializacji niezaufanych danych w aplikacji GPT Academic, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji danych dostarczanych przez użytkowników w punkcie końcowym przesyłania.
Podatność CVE-2026-0763 dotyczy funkcji run_in_subprocess_wrapper_func w GPT Academic, gdzie brak odpowiedniej walidacji danych dostarczanych przez użytkownika prowadzi do deserializacji niezaufanych danych. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.
Podatność CVE-2026-0761 dotyczy wstrzykiwania kodu w funkcji actionoutput_str_to_mapping w Foundation Agents MetaGPT, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.
Podatność CVE-2026-0760 dotyczy funkcji deserialize_message w Foundation Agents MetaGPT, która nieprawidłowo waliduje dane dostarczane przez użytkowników. W wyniku tego atakujący może zdalnie wykonać dowolny kod na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.

