CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-9319
Critical

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na potencjalne zdalne wykonanie kodu z powodu deserializacji nieufnych danych przez punkty końcowe JAX-WS z WS-Security.

CVE-2026-9311
Critical

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na zdalne wykonanie kodu z powodu obejścia zabezpieczeń.

CVE-2026-8644
Critical

IBM WebSphere Application Server w wersjach 9.0 i 8.5 jest podatny na oszustwa tożsamości. Atakujący może wykorzystać tę podatność do podszywania się pod inne osoby.

CVE-2026-22872
Critical

Capsule to framework dla Kubernetes, który obsługuje wielo-tenancy i polityki. Kontroler Capsule działa z uprawnieniami cluster-admin, co pozwala administratorom tenantów na tworzenie zasobów o zasięgu klastra, co prowadzi do eskalacji uprawnień między tenantami oraz ataków na poziomie klastra przed wersją 0.13.0.

CVE-2026-45132
Critical

CloudPirates Open Source Helm Charts zawiera zestaw wykresów Helm. Przed poprawką w commit fcf9302, workflow GitHub Actions (generate-schema.yaml) ujawniał wrażliwe dane uwierzytelniające (token dostępu osobistego i klucz podpisu SSH) z powodu niebezpiecznych praktyk obsługi checkoutu i danych uwierzytelniających.

CVE-2026-45131
Critical

CloudPirates Open Source Helm Charts zawierał lukę, w której workflow GitHub Actions (pull-request.yaml) wykonywał kod kontrolowany przez atakującego z forków pull requestów w kontekście z uprawnieniami, co prowadziło do ujawnienia sekretów repozytorium, w tym poświadczeń i tokenów Docker Hub, bez potrzeby zatwierdzenia przez maintainerów. Problem został naprawiony w commicie fcf9302.

CVE-2026-44211
Critical

Cline to autonomiczny agent kodujący dostępny jako SDK, rozszerzenie IDE lub asystent CLI. W wersjach 2.13.0 i wcześniejszych występuje podatność na przejęcie WebSocket z różnych źródeł w serwerach Cline Kanban. W momencie publikacji nie ma dostępnych publicznie poprawek.

CVE-2026-42672
Critical

Podatność CVE-2026-42672 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w WP Directory Kit. Problem ten dotyczy wersji od n/a do 1.5.1.

CVE-2026-48879
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Sergey AIWU umożliwia eskalację uprawnień. Problem dotyczy wersji AIWU od n/a do 1.4.17.

CVE-2026-48866
Critical

Podatność typu 'Path Traversal' w Gravity Forms firmy Rocketgenius Inc. pozwala na nieprawidłowe ograniczenie ścieżki do zastrzeżonego katalogu. Dotyczy to wersji Gravity Forms od n/a do 2.10.0.1.

CVE-2026-42682
Critical

W wpForo Forum występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 3.0.6.

CVE-2026-42680
Critical

Podatność CVE-2026-42680 dotyczy niewłaściwego przypisania uprawnień w aplikacji Contest Gallery Pro, co umożliwia eskalację uprawnień. Problem ten występuje w wersjach od n/a do 29.0.1.

CVE-2026-0826
CriticalEPSS 52%

W określonych scenariuszach, gdy administrator włączył Interaktywną Establizację Łączności (ICE), może wystąpić przepełnienie bufora, które umożliwia zdalne wykonanie kodu na produktach Poly Voice działających na platformie Linux.

CVE-2026-7858
Critical

Podatność na deserializację niezaufanych danych dotyczy Teamwork Cloud od No Magic w wersjach od 2022x do 2026x oraz Magic Collaboration Studio od CATIA Magic w wersjach od 2022x do 2026x. Może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

CVE-2026-42252
Critical

Dokumentacja Apache Airflow zawierała przykład użycia `BashOperator` bez ostrzeżenia o konieczności cytowania/sanitizacji, co mogło prowadzić do wstrzyknięcia metacharakterów powłoki. Użytkownicy z uprawnieniami `Dag.can_trigger` mogli wykorzystać ten błąd, aby wykonać złośliwy kod na serwerze roboczym.

CVE-2026-48188
Critical

CVE-2026-48188 describes an improper Input Validation vulnerability in the OTRS database layer module, allowing unauthenticated SQL injection that can lead to authentication bypass. This issue only affects systems where the MySQL/MariaDB server is configured with the NO_BACKSLASH_ESCAPES SQL mode.

CVE-2026-10187
Critical

Wykryto podatność w urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305. Problem dotyczy funkcji setWiFiBasicConfig w pliku wireless.so interfejsu zarządzania przez sieć, gdzie manipulacja argumentem KeyStr prowadzi do przepełnienia bufora na stosie.

CVE-2018-25412
Critical

Delta Sql w wersji 1.8.2 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwych plików poprzez wysyłanie żądań POST do docs_upload.php z odpowiednio skonstruowanymi danymi formularza wieloczęściowego. Atakujący mogą przesyłać pliki PHP z dowolną zawartością do katalogu przesyłania i wykonywać je na serwerze, co prowadzi do zdalnego wykonania kodu.

CVE-2026-45700
Critical

FreeRDP before version 3.26.0 has a heap out-of-bounds write vulnerability in the planar bitmap decoder. The flaw in freerdp_bitmap_decompress_planar() improperly validates destination coordinates, allowing an attacker to write past the end of the internal pTempData buffer.

CVE-2026-45697
Critical

Formie to wtyczka Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.20 i 3.1.24, nieautoryzowani użytkownicy mogli przesyłać spreparowane wartości do ukrytych pól, które były oceniane jako Twig podczas obsługi przesyłania, co mogło prowadzić do poważnego kompromitowania witryny Craft.

PreviousPage 56 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS