CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-9308
Medium

W widoku czytnika Firefox dla iOS, zawartość strony była zastępowana w szablonie HTML przed zastąpieniem innych wewnętrznych znaczników. Złośliwa strona mogła zawierać ciąg znaków, który później był zastępowany danymi JSON-LD, co mogło prowadzić do wykonania dowolnego kodu JavaScript.

CVE-2026-34193
Medium

Błąd logiczny w translacji adresów w oprogramowaniu jądra działającym w maszynie wirtualnej Gościa/Gospodarza może prowadzić do nieprawidłowego wysyłania poleceń do oprogramowania układowego GPU, co skutkuje zapisem danych poza zamierzoną pamięcią GPU.

CVE-2026-10258
Medium

Zidentyfikowano słabość w systemie zarządzania treścią itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /admin/add_sub_topic.php, gdzie manipulacja argumentem topic_id prowadzi do wstrzykiwania SQL.

CVE-2026-10257
Medium

W systemie zarządzania treścią itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy nieznanego przetwarzania pliku /admin/update_ss_img.php, co prowadzi do wstrzykiwania SQL poprzez manipulację argumentem topic_id.

CVE-2026-10256
Medium

Zidentyfikowano podatność w systemie zarządzania treścią itsourcecode w wersji 1.0. Podatność ta dotyczy nieznanego kodu w pliku /save_comment.php, gdzie manipulacja argumentem Name prowadzi do wstrzykiwania SQL.

CVE-2026-10255
Medium

W systemie sprzedaży i zarządzania zapasami SourceCodester Pharmacy w wersji 1.0 odkryto podatność. Dotyczy ona funkcji sell_statement w pliku application/controllers/ShowForm.php, co prowadzi do niewłaściwych kontroli dostępu. Atak można przeprowadzić zdalnie.

CVE-2026-10254
Medium

W oprogramowaniu SourceCodester Pet Grooming Management Software w wersji 1.0 znaleziono lukę, która dotyczy nieznanej funkcji w pliku /admin/. Manipulacja ta prowadzi do ujawnienia informacji o plikach i katalogach.

CVE-2026-49328
Medium

W składniku UrlImageConverter w Apache Fesod (Incubating) przed wersją 2.0.2-incubating występuje podatność typu Server-Side Request Forgery (SSRF), która pozwala atakującym na wykonywanie zewnętrznych żądań sieciowych do wewnętrznych lub ograniczonych zasobów za pomocą dostarczonego przez użytkownika adresu URL obrazu.

CVE-2026-25600
Medium

Aplikacja PDBM korzysta z statycznego, wbudowanego sekretu w pliku wykonywalnym PDBM.exe, który jest używany w rutynach szyfrowania, w tym do deszyfrowania poświadczeń w pliku konfiguracyjnym. Ponieważ sekret jest stały dla wszystkich instalacji, atakujący z odpowiednimi uprawnieniami lokalnymi może go wydobyć z binarnego pliku.

CVE-2026-25599
Medium

Brak uwierzytelnienia oraz przesyłanie danych w postaci niezaszyfrowanej z pomp ciepła do serwera kontrolnego, w połączeniu z brakiem walidacji danych wejściowych, może prowadzić do przechowywanego ataku XSS, który umożliwia kradzież ciasteczek z interfejsu webowego pompy. Starsze urządzenia pomp ciepła Orca komunikujące się z serwerem Orca przez niezaszyfrowane i nieautoryzowane połączenie HTTP na niezabezpieczonym porcie umożliwiają atakującemu podszywanie się pod legalne urządzenie i wstrzykiwanie złośliwych ładunków.

CVE-2026-10248
Medium

W systemie zarządzania sprzedażą i zapasami SourceCodester Pharmacy do wersji 1.0 zidentyfikowano podatność. Problem dotyczy funkcji create_supplier w pliku /Export_csv/export, gdzie manipulacja argumentem Adres/Nazwa Firmy prowadzi do wstrzyknięcia CSV.

CVE-2026-8474
Medium

Odkryto podatność na urządzeniach Stormshield Network Security, która umożliwia przeprowadzenie ataku XSS (Cross-Site Scripting) na API logowania. Atakujący może wykonać skrypt na maszynie ofiary, co prowadzi do kradzieży ciasteczek lub innych wrażliwych danych oraz modyfikacji zachowania strony.

CVE-2026-49270
Medium

Podatność w Apache ActiveMQ Broker, Apache ActiveMQ oraz Apache ActiveMQ All umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do wrażliwych informacji poprzez metadane. Atakujący może otrzymać listę wszystkich trwałych subskrypcji tematów w brokerze, w tym identyfikatory klientów, nazwy subskrypcji, cele tematów oraz wyrażenia selektora JMS, wysyłając polecenie BrokerInfo.

CVE-2026-49267
Medium

Podatność w Apache Airflow's EmailOperator oraz pomocnikach `airflow.utils.email` pozwala na nawiązywanie połączeń SMTP STARTTLS bez weryfikacji certyfikatu zdalnego, gdy użyto konfiguracji `[email] smtp_starttls=True` bez `[email] smtp_ssl`. Atakujący mogą przechwycić dane uwierzytelniające SMTP AUTH oraz treść wiadomości, jeśli znajdują się pomiędzy pracownikiem a skonfigurowanym serwerem SMTP.

CVE-2026-48726
Medium

Błąd w zarządzaniu wylogowaniem w Apache Airflow powoduje, że wcześniej wydane tokeny JWT pozostają ważne po kliknięciu wylogowania w interfejsie użytkownika. Proces wylogowania dla `FabAuthManager` i `KeycloakAuthManager` nie wywołuje właściwej funkcji `revoke_token()`, co pozwala na dalsze korzystanie z API przez atakującego posiadającego token JWT użytkownika, który się wylogował.

CVE-2026-46764
Medium

Endpoint szczegółów dziennika zdarzeń `GET /api/v2/eventLogs/{event_log_id}` w Apache Airflow pobierał wiersze dziennika audytu bezpośrednio po identyfikatorze numerycznym, po jedynie ogólnej weryfikacji uprawnień. Użytkownik z uprawnieniami do odczytu dziennika audytu dla jednego Dag mógł uzyskać dostęp do wpisów dziennika audytu dla innych Dag, zgadując lub enumerując numeryczne identyfikatory dzienników zdarzeń.

CVE-2026-46605
Medium

Niekompletna autoryzacja w serwerze Apache ActiveMQ przed wersjami v6.2.6 i v5.19.7 pozwala uwierzytelnionym połączeniom na usuwanie istniejących destynacji przy odpowiednich uprawnieniach. Problem dotyczy brokerów Apache ActiveMQ przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6.

CVE-2026-42360
Medium

Błąd w obsłudze pól szablonów w Apache Airflow spowodował, że zagnieżdżone maskowanie wrażliwych kluczy (np. `password`, `token`, `secret`, `api_key` w strukturze JSON) zostało ominięte, gdy długość renderowanego pola przekroczyła maksymalną dozwoloną wartość. W wyniku tego, użytkownicy z odpowiednimi uprawnieniami mogli uzyskać dostęp do wartości, które miały być ukryte.

CVE-2026-42358
Medium

Błąd w masce odpowiedzi zmiennej Apache Airflow spowodował, że redakcja kluczy zagnieżdżonych (wywoływana przez klucze kończące się na 'secret', takie jak `password`, `token`, `secret`, `api_key`) mogła zostać ominięta, gdy głębokość zagnieżdżenia wartości JSON przekroczyła limit rekurencji. Użytkownik z uprawnieniami do odczytu zmiennych mógł uzyskać dostęp do niezaszyfrowanych wartości sekretów przechowywanych pod wrażliwymi kluczami zagnieżdżonymi zbyt głęboko.

CVE-2026-42253
Medium

Podatność typu 'Cross-site Scripting' w Apache ActiveMQ i Apache ActiveMQ Web polega na niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. MessageServlet w API konsoli webowej ActiveMQ kopiuje właściwości wiadomości JMS do nagłówka odpowiedzi HTTP bez walidacji, co umożliwia nadpisywanie i wstrzykiwanie nagłówków bezpieczeństwa.

PreviousPage 196 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS