CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.07)
DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.
DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.
In Digital Knowledge KnowledgeDeliver systems prior to February 24, 2026, there is a hard-coded machineKey value in ASP.NET/IIS, allowing adversaries to bypass ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks.
System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.
System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Versions of @fastify/middie up to 9.3.1 do not register inherited middleware directly on child plugin engine instances. This allows unauthenticated requests to bypass authentication and authorization checks for routes defined in child plugins.
The goodoneuz/pay-uz Laravel package in versions up to 2.2.24 contains a critical vulnerability in the /payment/api/editable/update endpoint that allows unauthenticated attackers to overwrite existing PHP payment hook files. The endpoint is exposed without authentication, enabling remote access without credentials.
Wtyczka Riaxe Product Customizer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.1.2 włącznie. Wtyczka rejestruje nieautoryzowaną akcję AJAX, która umożliwia atakującym aktualizację dowolnych opcji WordPressa bez weryfikacji nonce i kontroli uprawnień.
MailGates/MailAudit developed by Openfind has a Stack-based Buffer Overflow vulnerability, allowing unauthenticated remote attackers to control the program's execution flow and execute arbitrary code.
iSherlock developed by HGiga has an OS Command Injection vulnerability, allowing unauthenticated local attackers to inject arbitrary OS commands and execute them on the server.
Creolabs Gravity before 0.9.6 contains a heap buffer overflow vulnerability in the gravity_vm_exec function that allows attackers to write out-of-bounds memory by crafting scripts with many string literals at global scope. Attackers can exploit insufficient bounds checking in gravity_fiber_reassign() to corrupt heap metadata and achieve arbitrary code execution in applications that evaluate untrusted scripts.
Luanti 5 before 5.15.2, when LuaJIT is used, allows a Lua sandbox escape via a crafted mod.
Wtyczka Barcode Scanner dla WordPressa jest podatna na eskalację uprawnień z powodu niebezpiecznej autoryzacji opartej na tokenach we wszystkich wersjach do 1.11.0. Problem wynika z zaufania wtyczki do dostarczonego przez użytkownika identyfikatora użytkownika w tokenie, co umożliwia atakującym uzyskanie ważnych tokenów autoryzacyjnych.
A flaw in ArgoCD Image Updater allows an attacker with permissions to create or modify an ImageUpdater resource in a multi-tenant environment to bypass namespace boundaries. Insufficient validation enables unauthorized image updates on applications managed by other tenants.
Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach 25.3.1 i wcześniejszych występuje podatność na ujawnienie poświadczeń, która pozwala na dostęp do pełnej linii poleceń procesu bez uwierzytelnienia, co może prowadzić do nieautoryzowanego dostępu do punktów końcowych administracyjnych.
Heap buffer overflow in ANGLE in Google Chrome prior to version 147.0.7727.101 allowed a remote attacker to potentially perform a sandbox escape via a crafted HTML page.
A vulnerability in Pyroscope allows an attacker to extract the secret_key configuration value for Tencent COS storage backend via the API, if the database uses this backend. Direct access to the Pyroscope API is required.

