CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Wykryto podatność w NousResearch hermes-agent do wersji 2026.4.30, która dotyczy funkcji _handle_webhook_request w pliku gateway/platforms/feishu.py komponentu Webhook Endpoint. Manipulacja tą funkcją prowadzi do nadmiernego zużycia zasobów.
Zidentyfikowano słabość w NousResearch hermes-agent do wersji 2026.4.30, która dotyczy funkcji _scan_memory_content w pliku tools/memory_tool.py. Manipulacja ta prowadzi do wstrzyknięcia, a atak może być inicjowany zdalnie.
Wykryto lukę bezpieczeństwa w NousResearch hermes-agent do wersji 2026.4.30, dotyczącą funkcji _sanitize_env_lines w pliku hermes_cli/config.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia złośliwego kodu.
In OTRS and ((OTRS)) Community Edition, improper neutralization of active SVG content in ticket article rendering allows attackers to inject specially crafted SVG payloads via email content. This can lead to browser-side resource exhaustion and denial of service when affected tickets are opened by an agent or customer.
An improper Input Validation vulnerability in the OTRS Customer Backend module allows access to customer information that is restricted to other groups. Note that the feature must be enabled and CustomerGroupSupport must be used to be affected.
Uncontrolled resource allocation in email handling in OTRS may lead to excessive allocation, potentially causing the web server to abort. This issue affects OTRS versions 8.0.X, 2023.X, 2024.X, 2025.X, and 2026.X before 2026.4.X.
W sterowniku WLAN STA występuje możliwy błąd prowadzący do awarii systemu z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego odmowy usługi, wymagając uprawnień użytkownika do wykonania.
W geniezone występuje możliwe zapisanie poza przydzielonym obszarem pamięci z powodu warunków wyścigu. Może to prowadzić do lokalnego podniesienia uprawnień, jeśli złośliwy aktor już uzyskał uprawnienia systemowe.
W geniezone występuje możliwe zapisanie poza granicami z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień, jeśli złośliwy aktor już uzyskał uprawnienia systemowe.
Wykryto podatność w nextlevelbuilder GoClaw do wersji 3.11.3, która dotyczy funkcji auth w pliku internal/http/evolution_handlers.go. Manipulacja ta prowadzi do niewłaściwej autoryzacji, co może być wykorzystane przez zdalnego atakującego.
W systemie nextlevelbuilder GoClaw do wersji 3.11.3 znaleziono lukę w funkcji handleSave w pliku internal/http/tts_config.go komponentu RoleAdmin Gateway. Problem ten prowadzi do niewłaściwego zarządzania uprawnieniami.
W systemie Dolibarr ERP CRM do wersji 23.0.1 wykryto podatność bezpieczeństwa w funkcji checkUserAccessToObject w pliku htdocs/holiday/class/api_holidays.class.php, dotyczącą REST API wniosków urlopowych. Manipulacja tą funkcją prowadzi do niewłaściwej autoryzacji, co może umożliwić zdalny atak.
Wykryto lukę bezpieczeństwa w AstrBotDevs AstrBot w wersji 4.23.6, która dotyczy nieznanego kodu w pliku /api/skills/delete komponentu API Endpoint. Manipulacja argumentem Name prowadzi do przejścia przez ścieżkę, co może być wykorzystane w atakach zdalnych.
Zidentyfikowano podatność w AstrBotDevs AstrBot w wersji 4.24.2, która dotyczy funkcji astr_main_agent w pliku astrbot/core/astr_main_agent.py. Manipulacja argumentem session_id prowadzi do obejścia autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2026-10211 zidentyfikowano problem w AstrBot 4.23.6, dotyczący funkcji _normalize_rw_path w pliku astrbot/core/tools/computer_tools/fs.py. Manipulacja ta prowadzi do nieprawidłowej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2026-10210 w AstrBot 4.23.6 zidentyfikowano problem w funkcji _sanitize_prompt_description w pliku astrbot/core/skills/skill_manager.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia kodu, co może być przeprowadzone zdalnie.
W systemie zarządzania szpitalem Online Hospital Management System w wersji 1.0 odkryto podatność. Nieznana funkcja w pliku appointmentdetail.php komponentu Appointment Handler umożliwia wstrzyknięcie SQL poprzez manipulację argumentem editid.
Wykryto podatność w oprogramowaniu Metasoft 美特软件 MetaCRM 6.4.0, która dotyczy nieznanej funkcji w pliku develop/systparam/softlogo/upload.jsp. Manipulacja tą funkcją prowadzi do nieograniczonego przesyłania plików.
Zidentyfikowano słabość w OFCMS w wersji 1.1.3, dotyczącą funkcji Query w pliku SysUserController.java. Manipulacja ta prowadzi do podatności na atak typu SQL injection, który może być inicjowany zdalnie.
W OFCMS w wersji 1.1.3 odkryto lukę bezpieczeństwa w funkcji Query w pliku SystemParamController.java, która umożliwia atak typu SQL injection. Atak może być przeprowadzony zdalnie, a exploit został publicznie udostępniony.

