CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Zidentyfikowano podatność w OFCMS w wersji 1.1.3, która dotyczy funkcji Query w pliku SystemDictController.java. Problem ten prowadzi do możliwości wstrzyknięcia SQL i może być wykorzystany zdalnie.
W bibliotece Assimp do wersji 6.0.4 zidentyfikowano podatność w funkcji glTFCommon::CopyValue w pliku glTFCommon.h, dotyczącą parsera macierzy 4x4. Manipulacja tą funkcją może prowadzić do przepełnienia bufora w pamięci heap.
An improper default configuration in OTRS 2026.3.1 causes ticket article forwarding actions to enforce the “Is visible for customer” flag by default and prevent users from disabling it via the UI. This leads to unintended exposure of internal ticket information to the External Frontend.
Zidentyfikowano słabość w OFFIS DCMTK 3.7.0, która dotyczy funkcji DcmQueryRetrieveIndexDatabaseHandle::deleteOldestImages. Wykonanie manipulacji może prowadzić do przepełnienia bufora w stercie, co może być zrealizowane zdalnie.
W OFCMS w wersjach do 1.1.3 odkryto lukę bezpieczeństwa w funkcji Query w pliku ComnController.java. Manipulacja argumentem system.user.query prowadzi do podatności na atak typu SQL injection, który może być przeprowadzony zdalnie.
Wykryto podatność w Tenda W12 w wersji 3.0.0.7(4763), która dotyczy funkcji cgiSysWebTimeoutSet w pliku /bin/httpd interfejsu zarządzania przez sieć. Manipulacja argumentem web_over_time prowadzi do odmowy usługi.
W TRENDnet TEW-432BRP w wersji 3.10B20 zidentyfikowano podatność w funkcji formWlanSetup, która może prowadzić do wstrzyknięcia poleceń poprzez manipulację argumentem enrollee. Atak można przeprowadzić zdalnie, a exploit został publicznie ujawniony.
Wykryto podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formSysCmd w pliku /goform/formSysCmd. Manipulacja argumentem sysCmd prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w Aider-AI Aider 0.86.3, która dotyczy funkcji requests.get w pliku api_docs.py komponentu AWS EC2 Metadata Endpoint. Manipulacja prowadzi do ataku typu server-side request forgery, który może być przeprowadzony zdalnie.
Zidentyfikowano słabość w Aider-AI Aider 0.86.3, dotyczącą nieznanej funkcjonalności komponentu Code Generation Workflow. Wykonanie manipulacji może prowadzić do ataku typu SQL injection, który może być przeprowadzony zdalnie.
W Aider-AI w wersji 0.86.3 odkryto lukę bezpieczeństwa w funkcji editor_coder.run w pliku auth.py komponentu Architect Mode. Wykonanie manipulacji prowadzi do wstrzyknięcia kodu, co umożliwia zdalne wykorzystanie tej podatności.
Zidentyfikowano podatność w Aider-AI Aider w wersji 0.86.3, dotycząca nieznanej funkcji w pliku aider/args.py komponentu Pre-commit Hook Handler. Manipulacja argumentem git-commit-verify prowadzi do awarii mechanizmu ochrony.
Zidentyfikowano słabość w Orthanc Explorer w wersjach do 1.12.0. Problem dotyczy nieznanej funkcji w pliku WebApplication/src/components/StudyList.vue, która umożliwia ataki typu cross-site scripting poprzez manipulację argumentem remote-source.
W systemie zarządzania zapasami Bdtask Multi-Store w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji Upload w pliku application/modules/dashboard/controllers/Module.php, gdzie manipulacja argumentem module prowadzi do nieograniczonego przesyłania plików.
Wykryto podatność w systemie Online Music Site w wersji 1.0, która dotyczy pliku /Administrator/PHP/AdminUpdateAlbum.php. Manipulacja argumentem ID prowadzi do możliwości wstrzyknięcia SQL.
W systemie zarządzania wizytami (Visitor Management System) w wersji 1.0 znaleziono lukę, która dotyczy nieznanej funkcjonalności pliku /vms/php/phone_0.php. Manipulacja argumentem 'phone' prowadzi do wstrzykiwania SQL.
W systemie zarządzania uczniami OUSL-GROUP-BrinaryBrains zidentyfikowano podatność w funkcji marks w pliku application/controllers/Parents.php. Manipulacja argumentem param1 prowadzi do niewłaściwej kontroli identyfikatorów zasobów, co umożliwia zdalne przeprowadzenie ataku.
Wtyczka Advanced Custom Fields (ACF®) dla WordPressa jest podatna na obejście autoryzacji we wszystkich wersjach do 6.8.1 włącznie. Problem wynika z niewłaściwej weryfikacji uprawnień użytkownika do wykonania akcji, co pozwala nieautoryzowanym atakującym na nadpisanie post_title i post_content dowolnego posta powiązanego z publicznie dostępną instancją acf_form().
W urządzeniu Edimax BR-6478AC w wersji 1.23 zidentyfikowano podatność, która dotyczy funkcji formWlbasic w pliku /goform/formWlbasic. Manipulacja argumentem rootAPmac prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.
W Open5GS w wersjach do 2.7.7 zidentyfikowano podatność w funkcji handle_amf_info w bibliotece /lib/sbi/nnrf-handler.c komponentu nf-instances Endpoint. Manipulacja argumentem nf_info_pool może prowadzić do nadmiernego zużycia zasobów.

