CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 33.0.0 do przed 33.1.0, po odblokowaniu zablokowanego telefonu z systemem Android, przycisk wstecz mógł być użyty do ominięcia kodu PIN aplikacji Nextcloud Files. Problem ten został naprawiony w wersji 33.1.0.
Billy to abstrakcja systemu plików dla Go. W wersjach przed 5.9.0 i 6.0.0-alpha.1, wiele komponentów może niewłaściwie obsługiwać spreparowane lub uszkodzone dane wejściowe, co prowadzi do panik, nieskończonych pętli, niekontrolowanej rekurencji lub nadmiernego zużycia zasobów.
W podatności CVE-2026-42679 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu 'Path Traversal' w aplikacji Classified Listing. Problem ten dotyczy wersji od n/a do 5.3.8.
W podatności CVE-2026-42676 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w myCred, co prowadzi do możliwości wystąpienia ataków typu Stored XSS. Problem ten dotyczy wersji myCred od n/a do 3.0.4.
W podatności CVE-2026-42671 w Paolo GeoDirectory występuje brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji GeoDirectory od n/a do 2.8.157.
W OpenSC w wersjach do 0.26.1 znaleziono lukę w funkcji test_kpgen_certwrite w pliku src/tools/pkcs11-tool.c modułu generowania kluczy pkcs11-tool. Luka ta prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.
Wykryto podatność w indrasishbanerjee aem-mcp-server do wersji b5f833aef9b5dfd17a5991b3b18a8a11edbdc583, która dotyczy funkcji getAssetMetadata w pliku src/mcp-server.ts komponentu Axios Request Flow. Manipulacja argumentem assetPath może prowadzić do ataku typu server-side request forgery, który można przeprowadzić zdalnie.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano podatność w nieznanej funkcji pliku admin/deleteform.php. Manipulacja argumentem sid prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano lukę w nieznanej funkcji pliku admin/ w komponencie Admin Endpoint. Manipulacja argumentem uid prowadzi do wykonania kodu po przekierowaniu, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w decolua 9router do wersji 0.4.0, która dotyczy funkcji isAuthenticated w pliku src/dashboardGuard.js komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do niewłaściwej autoryzacji, co umożliwia zdalny atak.
Serwer Muzyczny Lightweight (LMS) w wersjach do 3.76.0 zawiera podatność na przechowywane ataki typu cross-site scripting, która pozwala atakującym na wykonanie dowolnego kodu JavaScript poprzez osadzenie złośliwego HTML w metadanych plików multimedialnych, takich jak GENRE, ARTIST lub ALBUM. Atakujący mogą wprowadzić spreparowany plik multimedialny do biblioteki ofiary, co powoduje zapisanie ładunku podczas skanowania biblioteki i automatyczne wykonanie go w interfejsie webowym.
A flaw was found in OpenShift Container Platform that allows a non-privileged user to generate a large volume of events. This can lead to API server performance degradation across the cluster.
Zidentyfikowano podatność w systemie zarządzania treścią itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcjonalności pliku /admin/edit_topic.php, gdzie manipulacja argumentem topic_id prowadzi do wstrzykiwania SQL.
W funkcji gf_media_get_color_info (/media_tools/isom_tools.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku danych.
W funkcji dasher_process (/filters/dasher.c) w GPAC Project/MP4Box przed wersją 26.02.0 występuje podatność typu use-after-free w stercie, która pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MPEG-2.
W funkcji gf_isom_apple_set_tag_ex w GPAC Project/MP4Box przed wersją 26.02.0 występuje naruszenie segmentacji, które pozwala atakującym na wywołanie Denial of Service (DoS) poprzez dostarczenie spreparowanego pliku MP4.
W funkcji gf_ac4_pres_b_4_back_channels_present w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.
W funkcji gf_odf_ac4_cfg_dsi_v1 w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku AC4.
W funkcji m2tsdmx_send_packet (filters/dmx_m2ts.c) w GPAC MP4Box v2.4 występuje przepełnienie bufora na stercie, które umożliwia atakującym spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku MP4.
Firefox dla iOS w trybie czytania nieprawidłowo uciekał znaczniki HTML w metadanych JSON-LD. Złośliwa strona mogła wstrzyknąć kod, który zmieniał zachowanie trybu czytania i ujawniał wrażliwe parametry URL.

