CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.07)
Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. In versions prior to 23.0.0, the ODT to PDF conversion process in odf.php concatenates the MAIN_ODT_AS_PDF configuration constant directly into a shell command passed to exec() without sanitization.
Firebird to system zarządzania relacyjnymi bazami danych typu open-source. W wersjach przed 5.0.4, 4.0.7 i 3.0.14, loader wtyczek silnika zewnętrznego łączy nazwę silnika dostarczoną przez użytkownika z ścieżką do systemu plików bez filtrowania separatorów ścieżek lub komponentów '..'. Użytkownik z uprawnieniami CREATE FUNCTION może wykorzystać spreparowaną nazwę silnika do załadowania dowolnej biblioteki współdzielonej z systemu plików poprzez przejście ścieżki.
Anviz CX2 Lite and CX7 are vulnerable to unauthenticated firmware uploads. This allows attackers to upload crafted archives, leading to the execution of code and obtaining a reverse shell.
xrdp to otwartoźródłowy serwer RDP. Wersje do 0.10.5 zawierają podatność na odczyt poza granicami pamięci podczas wymiany możliwości RDP, co może prowadzić do awarii procesu lub ujawnienia wrażliwych informacji.
OpenViking prior to version 0.3.9 contains an authentication bypass vulnerability in the VikingBot OpenAPI where the authentication check fails open when the api_key configuration value is unset or empty. Remote attackers can invoke privileged bot-control functionality without providing a valid X-API-Key header.
Atakujący z dostępem do sieci PLC może przeprowadzić atak typu brute force, aby odkryć hasła i uzyskać nieautoryzowany dostęp do systemów i usług. Ograniczona złożoność haseł oraz brak limitów wprowadzania haseł umożliwiają enumerację haseł metodą brute force.
W systemie zarządzania obecnością CodeAstro Simple Attendance Management System w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnym, nieautoryzowanym atakującym ominięcie uwierzytelnienia poprzez parametr nazwy użytkownika w pliku index.php.
Nieautoryzowany użytkownik może w pewnych przypadkach wykonywać dowolne polecenia SQL w bazie danych Sparx Pro Cloud Server.
Wszystkie wtyczki Essentialplugin dla WordPressa są podatne na wstrzyknięty backdoor w różnych wersjach. Wtyczki te zostały sprzedane złośliwemu podmiotowi, który osadził backdoor w nabytych wtyczkach.
W CubeCart przed wersją 6.6.0 występuje podatność na wstrzykiwanie SQL, która może pozwolić atakującemu na wykonanie dowolnego zapytania SQL na produkcie.
SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach 3.6.3 i starszych, diagramy Mermaid są renderowane z ustawionym securityLevel na 'luźny', co pozwala na wstrzyknięcie kontrolowanego przez atakującego kodu JavaScript do renderowanego wyjścia.
DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.
DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.
In Digital Knowledge KnowledgeDeliver systems prior to February 24, 2026, there is a hard-coded machineKey value in ASP.NET/IIS, allowing adversaries to bypass ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks.
System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.
System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.
System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Versions of @fastify/middie up to 9.3.1 do not register inherited middleware directly on child plugin engine instances. This allows unauthenticated requests to bypass authentication and authorization checks for routes defined in child plugins.

