CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-0759
Critical

Podatność w Katana Network Development Starter Kit umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-0756
Critical

Podatność CVE-2026-0756 dotyczy serwera github-kanban-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru create_issue przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-0755
Critical

Podatność CVE-2026-0755 dotyczy narzędzia gemini-mcp-tool i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2025-15063
Critical

Podatność CVE-2025-15063 dotyczy serwera Ollama MCP i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2025-15061
Critical

Podatność w serwerze Framelink Figma MCP związana z metodą fetchWithRetry umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-24304
Critical

Nieprawidłowa kontrola dostępu w Azure Resource Manager umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24132
Critical

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.

CVE-2026-24307
Critical

Nieprawidłowa walidacja określonego typu danych wejściowych w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-24306
Critical

Nieprawidłowa kontrola dostępu w Azure Front Door (AFD) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24305
Critical

Podatność w Azure Entra ID umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż te, które powinny być mu przyznane.

CVE-2026-24124
Critical

Dragonfly to system dystrybucji plików i przyspieszania obrazów oparty na P2P. W wersjach 2.4.1-rc.0 i poniżej, punkty końcowe API Job (/api/v1/jobs) nie mają middleware autoryzacji JWT oraz kontroli autoryzacji RBAC, co pozwala nieautoryzowanym użytkownikom na przeglądanie, aktualizowanie i usuwanie zadań.

CVE-2026-21264
Critical

W Microsoft Account występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki atak umożliwia nieautoryzowanemu napastnikowi przeprowadzenie oszustwa w sieci.

CVE-2025-54816
Critical

Podatność występuje, gdy punkt końcowy WebSocket nie egzekwuje odpowiednich mechanizmów uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na nawiązywanie połączeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych lub wykonywania nieautoryzowanych działań.

CVE-2026-24058
Critical

Soft Serve to samodzielny serwer Git do obsługi z linii poleceń. Wersje 0.11.2 i wcześniejsze mają krytyczną podatność na obejście uwierzytelniania, która pozwala atakującemu na podszycie się pod dowolnego użytkownika (w tym administratora) poprzez 'ofertę' publicznego klucza ofiary podczas handshake'u SSH przed uwierzytelnieniem własnym ważnym kluczem.

CVE-2026-20912
Critical

A vulnerability in Gitea allows improper linking of attachments to releases due to missing validation of repository ownership. An attachment uploaded to a private repository could be linked to a release in a different public repository, leading to unauthorized access.

CVE-2026-20897
Critical

A vulnerability in Gitea allows a user with write access to a repository to delete LFS locks belonging to other repositories. The issue stems from improper validation of repository ownership when deleting Git LFS locks.

CVE-2026-20750
Critical

Gitea does not properly validate project ownership in organization project operations. A user with project write access in one organization may be able to modify projects belonging to a different organization.

CVE-2025-56590
Critical

An issue was discovered in the InsertFromURL() function of the Apryse HTML2PDF SDK through version 11.10, which could allow an attacker to execute arbitrary operating system commands on the local server.

CVE-2025-69828
Critical

W podatności CVE-2025-69828 w TMS Global Software TMS Management Console w wersji 6.3.7.27386.20250818 występuje luka związana z przesyłaniem plików. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez przesłanie logo w sekcji /Customer/AddEdit.

CVE-2025-69312
Critical

Podatność CVE-2025-69312 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Xpro Elementor Addons, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.4.19.1.

PreviousPage 187 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS