CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-45149
Medium

The brace-expansion library generates arbitrary strings containing a common prefix and suffix. From versions 5.0.0 to before 5.0.6, the max option was applied too late, leading to the generation of all elements in a large numeric range before the limit was enforced.

CVE-2026-44640
Medium

Podatność w NanoMQ MQTT Broker przed wersją 0.24.14 polega na błędnym przechowywaniu danych prov_data, co prowadzi do nieprawidłowej interpretacji obiektów. To zjawisko może powodować zawieszanie się lub awarię podczas zamykania połączenia.

CVE-2026-44287
Medium

FastGPT to platforma do budowania agentów AI. W wersjach przed 4.15.0-beta1, worker sandboxu JavaScript blokuje dynamiczne importy, jednak istnieje sposób na obejście tego zabezpieczenia, co pozwala na wykonanie dowolnych poleceń w kontenerze sandboxa.

CVE-2026-42500
Medium

Dekodowanie pliku BMP z paletą, który zawiera indeks palety poza zakresem, prowadzi do paniki podczas próby dostępu do pikseli w nieprawidłowym obrazie.

CVE-2026-34127
Medium

Zidentyfikowano podatność typu XSS (cross-site scripting) w interfejsie zarządzania webowego przełącznika TP-Link TL-SG108PE v5, spowodowaną niewłaściwą sanitacją parametru konfiguracji SYSNAM podczas importu pliku konfiguracyjnego. Atakujący z dostępem administratora może wstrzyknąć złośliwy skrypt do konfiguracji urządzenia, który może być przechowywany i wykonywany w przeglądarce administratora.

CVE-2026-49386
Medium

W JetBrains YouTrack przed wersją 2026.1.13570 wystąpił problem z niewłaściwą kontrolą dostępu, który umożliwiał enumerację zastrzeżonych problemów i artykułów na Planning Canvas.

CVE-2026-49385
Medium

W JetBrains YouTrack przed wersją 2026.1.13570 wystąpił problem z niewłaściwą kontrolą dostępu, który umożliwiał użytkownikom o niskich uprawnieniach modyfikację kont serwisowych.

CVE-2026-49384
Medium

W wersjach JetBrains PyCharm przed 2025.3.4 istniała możliwość przeprowadzenia ataku typu stored XSS w komórkach Markdown notatników Jupyter.

CVE-2026-49382
Medium

W wersjach JetBrains IntelliJ IDEA przed 2026.1 istniała możliwość wykonania kodu poprzez wstrzyknięcie szablonu w wtyczce Copyright.

CVE-2026-49379
Medium

W wersjach JetBrains TeamCity przed 2026.1 dane uwierzytelniające mogły być ujawniane w nazwach wątków. To może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2026-49378
Medium

W wersjach JetBrains TeamCity przed 2026.1 parametry poświadczeń były ujawniane poprzez autouzupełnianie parametrów. To może prowadzić do nieautoryzowanego dostępu do wrażliwych informacji.

CVE-2026-49377
Medium

W wersjach JetBrains TeamCity przed 2025.11.2 występuje podatność, która pozwala na ujawnienie wrażliwych danych poprzez domyślne parametry agenta.

CVE-2026-49376
Medium

W JetBrains TeamCity przed wersją 2026.1 występuje niewystarczająca walidacja nazw użytkowników w wtyczce SAML. Może to prowadzić do nieautoryzowanego dostępu lub manipulacji danymi użytkowników.

CVE-2026-49375
Medium

W wersjach JetBrains TeamCity przed 2026.1 oraz 2025.11.5 istniała możliwość wystąpienia refleksyjnego ataku XSS na stronie pobierania repozytoriów.

CVE-2026-49369
Medium

W JetBrains YouTrack przed wersją 2026.1.13162 istniała możliwość ujawnienia informacji na stronach Użytkowników i Grup.

CVE-2026-47745
Medium

W wersjach przed 2.8.0 panelu administracyjnego Shopper, tabele administracyjne dla metod płatności, walut i przewoźników ujawniały przełączniki inline oraz akcje per rekord (włącz, wyłącz, edytuj, usuń) dla każdego uwierzytelnionego użytkownika panelu, bez sprawdzania odpowiednich uprawnień. Użytkownik o niskich uprawnieniach mógł wyłączyć wszystkie metody płatności, zmienić domyślną walutę lub wyłączyć przewoźników.

CVE-2026-47742
Medium

Podatność w Shopper, przed wersją 2.8.0, dotyczy komponentów Livewire w edytorze produktów, które nie miały odpowiednich uprawnień w metodzie store(). Użytkownicy panelu mogli modyfikować ceny, stany magazynowe, metadane SEO, wymiary wysyłki oraz załączone media dowolnego produktu bez wymaganej roli edit_products.

CVE-2026-47741
Medium

Podatność w Shopper, przed wersją 2.8.0, polegała na tym, że akcja CreateOrderFromCartAction::execute tworzyła rekord zamówienia przed sprawdzeniem i zwiększeniem licznika użycia zniżki. W warunkach dużego obciążenia, takich jak Black Friday, limit użycia zniżki mógł zostać przekroczony, co skutkowało zastosowaniem zniżki mimo osiągnięcia limitu.

CVE-2026-46344
Medium

W bibliotece liboqs, przed wersją 0.16.0, zidentyfikowano błąd odczytu poza zakresem w kodzie weryfikacji podpisów XMSS i XMSS^MT. Problem występuje, gdy funkcja weryfikacji jest wywoływana z poprawnie wymiarowanym buforem podpisu, ale z kluczem publicznym, który odnosi się do innego zestawu parametrów XMSS z większym sig_bytes.

CVE-2026-44652
Medium

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, corsProxyMiddleware przekazywał req.params.url bezpośrednio do fetch(url, ...), co umożliwiało ataki typu SSRF.

PreviousPage 201 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS