CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-23500
Critical

Dolibarr is an enterprise resource planning (ERP) and customer relationship management (CRM) software package. In versions prior to 23.0.0, the ODT to PDF conversion process in odf.php concatenates the MAIN_ODT_AS_PDF configuration constant directly into a shell command passed to exec() without sanitization.

CVE-2026-40342
Critical

Firebird to system zarządzania relacyjnymi bazami danych typu open-source. W wersjach przed 5.0.4, 4.0.7 i 3.0.14, loader wtyczek silnika zewnętrznego łączy nazwę silnika dostarczoną przez użytkownika z ścieżką do systemu plików bez filtrowania separatorów ścieżek lub komponentów '..'. Użytkownik z uprawnieniami CREATE FUNCTION może wykorzystać spreparowaną nazwę silnika do załadowania dowolnej biblioteki współdzielonej z systemu plików poprzez przejście ścieżki.

CVE-2026-35546
Critical

Anviz CX2 Lite and CX7 are vulnerable to unauthenticated firmware uploads. This allows attackers to upload crafted archives, leading to the execution of code and obtaining a reverse shell.

CVE-2026-33516
Critical

xrdp to otwartoźródłowy serwer RDP. Wersje do 0.10.5 zawierają podatność na odczyt poza granicami pamięci podczas wymiany możliwości RDP, co może prowadzić do awarii procesu lub ujawnienia wrażliwych informacji.

CVE-2026-40525
Critical

OpenViking prior to version 0.3.9 contains an authentication bypass vulnerability in the VikingBot OpenAPI where the authentication check fails open when the api_key configuration value is unset or empty. Remote attackers can invoke privileged bot-control functionality without providing a valid X-API-Key header.

CVE-2026-6284
Critical

Atakujący z dostępem do sieci PLC może przeprowadzić atak typu brute force, aby odkryć hasła i uzyskać nieautoryzowany dostęp do systemów i usług. Ograniczona złożoność haseł oraz brak limitów wprowadzania haseł umożliwiają enumerację haseł metodą brute force.

CVE-2026-37749
Critical

W systemie zarządzania obecnością CodeAstro Simple Attendance Management System w wersji 1.0 występuje podatność na wstrzykiwanie SQL, która umożliwia zdalnym, nieautoryzowanym atakującym ominięcie uwierzytelnienia poprzez parametr nazwy użytkownika w pliku index.php.

CVE-2025-15625
Critical

Nieautoryzowany użytkownik może w pewnych przypadkach wykonywać dowolne polecenia SQL w bazie danych Sparx Pro Cloud Server.

CVE-2026-6443
Critical

Wszystkie wtyczki Essentialplugin dla WordPressa są podatne na wstrzyknięty backdoor w różnych wersjach. Wtyczki te zostały sprzedane złośliwemu podmiotowi, który osadził backdoor w nabytych wtyczkach.

CVE-2026-34018
Critical

W CubeCart przed wersją 6.6.0 występuje podatność na wstrzykiwanie SQL, która może pozwolić atakującemu na wykonanie dowolnego zapytania SQL na produkcie.

CVE-2026-40322
Critical

SiYuan to otwartoźródłowy system zarządzania wiedzą osobistą. W wersjach 3.6.3 i starszych, diagramy Mermaid są renderowane z ustawionym securityLevel na 'luźny', co pozwala na wstrzyknięcie kontrolowanego przez atakującego kodu JavaScript do renderowanego wyjścia.

CVE-2026-33122
Critical

DataEase to otwartoźródłowa platforma do wizualizacji danych i analityki. W wersjach 2.10.20 i wcześniejszych występuje podatność na wstrzykiwanie SQL w procesie aktualizacji źródła danych API, co pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-33082
Critical

DataEase to narzędzie do analizy wizualizacji danych typu open source. W wersjach 2.10.20 i starszych występuje podatność na wstrzykiwanie SQL w funkcjonalności eksportu zestawów danych, która pozwala atakującemu na wstrzyknięcie dowolnych poleceń SQL.

CVE-2026-5426
Critical

In Digital Knowledge KnowledgeDeliver systems prior to February 24, 2026, there is a hard-coded machineKey value in ASP.NET/IIS, allowing adversaries to bypass ViewState validation mechanisms and achieve remote code execution via malicious ViewState deserialization attacks.

CVE-2026-37347
Critical

System Zarządzania Płacami i Informacjami SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /payroll/view_employee.php.

CVE-2026-37345
Critical

System zarządzania obszarem parkingowym SourceCodester w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /parking/manage_park.php.

CVE-2026-37340
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/edit_music.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37339
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_genre.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-37338
Critical

System Simple Music Cloud Community w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /music/view_user.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-6270
Critical

Versions of @fastify/middie up to 9.3.1 do not register inherited middleware directly on child plugin engine instances. This allows unauthenticated requests to bypass authentication and authorization checks for routes defined in child plugins.

PreviousPage 105 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS