CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-44651
Medium

SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu, silnikami generacji obrazów oraz modelami syntezatorów mowy. W wersjach przed 1.18.0, gdy fetch(url) zgłasza błąd, kod wysyła odpowiedź z niebezpiecznym URL, który jest kontrolowany przez atakującego i nie jest odpowiednio zabezpieczony przed HTML-em.

CVE-2026-44611
Medium

Rejestrator danych podróży Danelec MacGregor przechowuje hasła przy użyciu metody haszowania, która ogranicza długość haseł i jest podatna na ataki siłowe.

CVE-2026-44518
Medium

W bibliotece liboqs, przed wersją 0.16.0, zidentyfikowano błąd odczytu poza granicami w kodzie weryfikacji podpisów XMSS i XMSS^MT. Funkcja weryfikacji nie sprawdza długości dostarczonego bufora podpisu, co może prowadzić do odczytu poza jego końcem.

CVE-2026-42951
Medium

Użytkownik z autoryzacją może pobrać kopię zapasową urządzenia Danelec MacGregor Voyage Data Recorder, która zawiera dane konta oraz hashe haseł.

CVE-2026-40425
Medium

Konto administratora w interfejsie internetowym rejestratora danych podróży Danelec MacGregor może bezpośrednio edytować wrażliwe pliki związane z uwierzytelnianiem, co potencjalnie umożliwia zmianę hasła roota.

CVE-2026-45660
Medium

Statamic to system zarządzania treścią (CMS) oparty na Laravel i Git. W wersjach przed 5.73.22 i 6.18.1, walidacja URL w proxy obrazów Glide mogła być obejściem, co pozwalało nieautoryzowanym użytkownikom na wysyłanie żądań HTTP do wewnętrznych adresów serwera.

CVE-2026-45626
Medium

Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersji 1.18.1 i wcześniejszych, endpoint GET /environments/{id}/volumes/{volumeName}/browse akceptuje parametr zapytania, który jest przekazywany do polecenia powłoki, co pozwala na wykonanie dowolnych poleceń przez uwierzytelnionego użytkownika.

CVE-2026-45577
Medium

Neotoma w wersjach od 0.6.0 do przed 0.11.1 może traktować publiczne żądania z reverse proxy jako lokalne, gdy są odbierane przez gniazdo loopback i nie ma obecnego tokena Bearer. W dotkniętych wdrożeniach middleware autoryzacji REST może rozwiązywać nieautoryzowane żądania jako lokalnego użytkownika deweloperskiego.

CVE-2026-43917
Medium

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersji 0.19.0 i wcześniejszych, middleware protectedProcedure jedynie weryfikuje, czy użytkownik jest uwierzytelniony, nie egzekwując ograniczeń organizacyjnych. Każdy punkt końcowy musi indywidualnie weryfikować, czy zasób odpowiada aktywnemu identyfikatorowi organizacji sesji.

CVE-2026-10070
Medium

Wykryto podatność w macrozheng mall do wersji 1.0.3, która dotyczy nieznanej funkcji pliku /admin/update/ w komponencie Super Admin Password Handler. Manipulacja tym elementem prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne wykorzystanie podatności.

CVE-2026-39229
Medium

Bolt CMS w wersjach do 3.7.0 umożliwia atak typu SQL Injection w parametrze 'order' na stronach listowania treści. Uwierzytelniony atakujący z niskimi uprawnieniami może wykorzystać tę podatność za pomocą komponentu OrderDirective.

CVE-2026-36324
Medium

System rejestracji wizyt lekarskich SourceCodester w wersji 1.0 jest podatny na ataki typu Cross Site Scripting (XSS) z powodu niewłaściwego przetwarzania danych wejściowych dostarczanych przez użytkowników w funkcjonalności rejestracji w pliku register.php.

CVE-2026-35673
Medium

OpenClaw przed wersją 2026.4.29 zawiera lukę w polityce SSRF, która pozwala na obejście zabezpieczeń w trasach debugowania przeglądarki i eksportu. Atakujący mający dostęp do tych tras mogą ponownie wykorzystać zablokowane karty, aby eksportować lub przeglądać treści, które powinny pozostać chronione.

CVE-2026-34507
Medium

OpenClaw przed wersją 2026.4.29 zawiera lukę w zabezpieczeniach, która pozwala na obejście polityki w komendach administracyjnych QQBot. Umożliwia to uwierzytelnionym nadawcom pominięcie kontroli polityki DM-only oraz allowFrom.

CVE-2026-33384
Medium

QuickCMS pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, co skutkuje tym, że wartość tego identyfikatora pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

CVE-2026-32906
Medium

OpenClaw przed wersją 2026.5.12 zawiera podatność na eskalację uprawnień w zatwierdzeniach wtyczek Slack, która pozwala użytkownikom z uprawnieniami exec na rozwiązywanie zatwierdzeń wtyczek przez bramkę zatwierdzającą exec. Atakujący z ograniczonymi uprawnieniami do zatwierdzania mogą obejść zamierzone podziały zatwierdzeń, aby zatwierdzić działania wtyczek poza konfiguracją operatora.

CVE-2026-10101
Medium

The ACM/MCE assisted-service component writes raw pull-secret data into `InfraEnv.status.conditions[].message` when pull-secret validation fails. This allows a namespace principal with the `view` ClusterRole to read sensitive authentication data from InfraEnv objects, bypassing RBAC restrictions on Secrets.

CVE-2026-10099
Medium

XX-Net w wersji 5.16.6 zawiera podatność na analizę ramek WebSocket w procedurze WebSocket_receive_worker w pliku simple_http_server.py. Umożliwia to atakującym powodowanie uszkodzenia danych aplikacji poprzez wysyłanie niezamaskowanych ramek WebSocket.

CVE-2026-10064
Medium

W urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20 odkryto lukę bezpieczeństwa, która dotyczy funkcji formSetPortTr w pliku /goform/formSetPortTr. Manipulacja argumentem special_name prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne przeprowadzenie ataku.

CVE-2018-25397
Medium

PHP-SHOP w wersji 1.0 zawiera podatność typu cross-site request forgery, która pozwala nieautoryzowanym atakującym na dodawanie użytkowników administracyjnych poprzez tworzenie złośliwych formularzy HTML. Atakujący mogą oszukać uwierzytelnionych administratorów, aby odwiedzili stronę z ukrytym formularzem, który automatycznie wysyła żądania POST do punktu końcowego users.php z parametrami takimi jak imię, e-mail, hasło i uprawnienia ustawione na admin.

PreviousPage 202 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS