CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Podatność w Katana Network Development Starter Kit umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0756 dotyczy serwera github-kanban-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru create_issue przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0755 dotyczy narzędzia gemini-mcp-tool i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2025-15063 dotyczy serwera Ollama MCP i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność w serwerze Framelink Figma MCP związana z metodą fetchWithRetry umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Nieprawidłowa kontrola dostępu w Azure Resource Manager umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.
Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.
Nieprawidłowa walidacja określonego typu danych wejściowych w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.
Nieprawidłowa kontrola dostępu w Azure Front Door (AFD) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Podatność w Azure Entra ID umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż te, które powinny być mu przyznane.
Dragonfly to system dystrybucji plików i przyspieszania obrazów oparty na P2P. W wersjach 2.4.1-rc.0 i poniżej, punkty końcowe API Job (/api/v1/jobs) nie mają middleware autoryzacji JWT oraz kontroli autoryzacji RBAC, co pozwala nieautoryzowanym użytkownikom na przeglądanie, aktualizowanie i usuwanie zadań.
W Microsoft Account występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki atak umożliwia nieautoryzowanemu napastnikowi przeprowadzenie oszustwa w sieci.
Podatność występuje, gdy punkt końcowy WebSocket nie egzekwuje odpowiednich mechanizmów uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na nawiązywanie połączeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych lub wykonywania nieautoryzowanych działań.
Soft Serve to samodzielny serwer Git do obsługi z linii poleceń. Wersje 0.11.2 i wcześniejsze mają krytyczną podatność na obejście uwierzytelniania, która pozwala atakującemu na podszycie się pod dowolnego użytkownika (w tym administratora) poprzez 'ofertę' publicznego klucza ofiary podczas handshake'u SSH przed uwierzytelnieniem własnym ważnym kluczem.
A vulnerability in Gitea allows improper linking of attachments to releases due to missing validation of repository ownership. An attachment uploaded to a private repository could be linked to a release in a different public repository, leading to unauthorized access.
A vulnerability in Gitea allows a user with write access to a repository to delete LFS locks belonging to other repositories. The issue stems from improper validation of repository ownership when deleting Git LFS locks.
Gitea does not properly validate project ownership in organization project operations. A user with project write access in one organization may be able to modify projects belonging to a different organization.
An issue was discovered in the InsertFromURL() function of the Apryse HTML2PDF SDK through version 11.10, which could allow an attacker to execute arbitrary operating system commands on the local server.
W podatności CVE-2025-69828 w TMS Global Software TMS Management Console w wersji 6.3.7.27386.20250818 występuje luka związana z przesyłaniem plików. Umożliwia ona zdalnemu atakującemu wykonanie dowolnego kodu poprzez przesłanie logo w sekcji /Customer/AddEdit.
Podatność CVE-2025-69312 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem wtyczki Xpro Elementor Addons, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji wtyczki od n/a do 1.4.19.1.

