CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-33122
Critical

DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-33082
Critical

DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-5426
Critical

In Digital Knowledge KnowledgeDeliver systems prior to February 24, 2026, there is a hard-coded machineKey value in ASP.NET/IIS, allowing adversaries to bypass ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks.

CVE-2026-37347
Critical

System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.

CVE-2026-37345
Critical

System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.

CVE-2026-37340
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37339
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37338
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-6270
Critical

Versions of @fastify/middie up to 9.3.1 do not register inherited middleware directly on child plugin engine instances. This allows unauthenticated requests to bypass authentication and authorization checks for routes defined in child plugins.

CVE-2026-31843
Critical

The goodoneuz/pay-uz Laravel package in versions up to 2.2.24 contains a critical vulnerability in the /payment/api/editable/update endpoint that allows unauthenticated attackers to overwrite existing PHP payment hook files. The endpoint is exposed without authentication, enabling remote access without credentials.

CVE-2026-3596
Critical

Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.

CVE-2026-6350
Critical

MailGates/MailAudit developed by Openfind has a Stack-based Buffer Overflow vulnerability, allowing unauthenticated remote attackers to control the program's execution flow and execute arbitrary code.

CVE-2026-6349
Critical

iSherlock developed by HGiga has an OS Command Injection vulnerability, allowing unauthenticated local attackers to inject arbitrary OS commands and execute them on the server.

CVE-2026-40504
Critical

Creolabs Gravity before 0.9.6 contains a heap buffer overflow vulnerability in the gravity_vm_exec function that allows attackers to write out-of-bounds memory by crafting scripts with many string literals at global scope. Attackers can exploit insufficient bounds checking in gravity_fiber_reassign() to corrupt heap metadata and achieve arbitrary code execution in applications that evaluate untrusted scripts.

CVE-2026-40959
Critical

Luanti 5 before 5.15.2, when LuaJIT is used, allows a Lua sandbox escape via a crafted mod.

CVE-2026-4880
Critical

Wtyczka Barcode Scanner dla WordPressa jest podatna na eskalację uprawnień z powodu niebezpiecznej autoryzacji opartej na tokenach we wszystkich wersjach do 1.11.0. Problem wynika z zaufania wtyczki do dostarczonego przez użytkownika identyfikatora użytkownika w tokenie, co umożliwia atakującym uzyskanie ważnych tokenów autoryzacyjnych.

CVE-2026-6388
Critical

A flaw in ArgoCD Image Updater allows an attacker with permissions to create or modify an ImageUpdater resource in a multi-tenant environment to bypass namespace boundaries. Insufficient validation enables unauthorized image updates on applications managed by other tenants.

CVE-2026-40173
Critical

Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach 25.3.1 i wcześniejszych występuje podatność na ujawnienie poświadczeń, która pozwala na dostęp do pełnej linii poleceń procesu bez uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do punktów końcowych administracyjnych.

CVE-2026-6296
Critical

Heap buffer overflow in ANGLE in Google Chrome prior to version 147.0.7727.101 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page.

CVE-2025-41118
Critical

A vulnerability in Pyroscope allows an attacker to extract the secret_key configuration value for Tencent COS storage backend via the API, if the database uses this backend. Direct access to the Pyroscope API is required.

PreviousPage 101 of 543Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS