CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-39842
Critical

OpenRemote to platforma IoT typu open-source. W wersjach 1.21.0 i wcześniejszych występują dwie powiązane podatności związane z wstrzykiwaniem wyrażeń w silniku reguł, które umożliwiają wykonanie dowolnego kodu na serwerze.

CVE-2026-1555
Critical

Motyw WebStack dla WordPressa jest podatny na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji io_img_upload() we wszystkich wersjach do i włącznie z 1.2024. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze dotkniętej strony.

CVE-2026-39399
Critical

W NuGet Gallery, repozytorium pakietów dla nuget.org, występuje podatność związana z obsługą plików .nuspec w zadaniach backendowych. Atakujący może dostarczyć spreparowany plik nuspec z złośliwymi metadanymi, co prowadzi do wstrzykiwania metadanych między pakietami, co może skutkować zdalnym wykonaniem kodu (RCE) oraz nieautoryzowanym zapisem blobów z powodu niewystarczającej walidacji wejścia.

CVE-2026-35033
Critical

Jellyfin to serwer multimedialny typu open source, który w wersjach przed 10.11.7 zawiera podatność na nieautoryzowane odczyty plików poprzez wstrzykiwanie argumentów ffmpeg w mechanizmie analizy parametrów zapytania StreamOptions. Metoda ParseStreamOptions dodaje parametry zapytania do słownika bez walidacji, co pozwala na wstrzyknięcie złośliwego filtru drawtext.

CVE-2026-35031
Critical

Jellyfin to otwartoźródłowy serwer multimedialny, który w wersjach przed 10.11.7 zawiera łańcuch podatności w punkcie końcowym przesyłania napisów. Pole Format nie jest walidowane, co pozwala na przejście ścieżki przez rozszerzenie pliku i umożliwia zapis dowolnych plików.

CVE-2026-34457
Critical

OAuth2 Proxy to reverse proxy, który zapewnia uwierzytelnianie przy użyciu dostawców OAuth2. W wersjach przed 7.15.2 występuje luka w uwierzytelnianiu zależna od konfiguracji, która pozwala na ominięcie uwierzytelnienia w określonych warunkach, umożliwiając atakującym dostęp do chronionych zasobów.

CVE-2026-39907
Critical

Unisys WebPerfect Image Suite versions 3.0.3960.22810 and 3.0.3960.22604 expose an unauthenticated WCF SOAP endpoint on TCP port 1208 that accepts unsanitized file paths in the ReadLicense action's LFName parameter. This allows remote attackers to trigger SMB connections and leak NTLMv2 machine-account hashes.

CVE-2026-39906
Critical

Versions 3.0.3960.22810 and 3.0.3960.22604 of Unisys WebPerfect Image Suite expose a deprecated .NET Remoting TCP channel, allowing remote unauthenticated attackers to leak NTLMv2 machine-account hashes. Attackers can use object-unmarshalling techniques to supply a UNC path as a target file argument.

CVE-2026-27304
Critical

Wersje ColdFusion 2023.18, 2025.6 i wcześniejsze są podatne na lukę związaną z niewłaściwą walidacją danych wejściowych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej luki nie wymaga interakcji ze strony użytkownika.

CVE-2026-5752
Critical

Podatność typu 'sandbox escape' w Terrarium umożliwia wykonanie dowolnego kodu z uprawnieniami roota na procesie hosta poprzez przechodzenie po łańcuchu prototypów JavaScript.

CVE-2026-34615
Critical

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Atakujący może wykorzystać tę podatność do wstrzyknięcia złośliwych skryptów na stronę internetową.

CVE-2026-33824
Critical

Podatność CVE-2026-33824 dotyczy podwójnego zwolnienia pamięci w rozszerzeniu IKE systemu Windows, co pozwala nieautoryzowanemu atakującemu na wykonanie kodu przez sieć.

CVE-2026-27303
Critical

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak związany z deserializacją niezaufanych danych, co może prowadzić do wykonania dowolnego kodu w kontekście aktualnego użytkownika. Wykorzystanie tej podatności wymaga interakcji użytkownika, który musi odwiedzić złośliwie przygotowany adres URL lub wchodzić w interakcję z zainfekowaną stroną internetową.

CVE-2026-27246
Critical

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na atak typu Cross-Site Scripting (XSS) oparty na DOM. Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-27245
Critical

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-27243
Critical

Wersje Adobe Connect 2025.3, 12.10 i wcześniejsze są podatne na odzwierciedloną podatność typu Cross-Site Scripting (XSS). Atakujący może wykorzystać tę podatność do wstrzykiwania złośliwych skryptów na stronę internetową, co może prowadzić do uzyskania podwyższonych uprawnień lub kontroli nad kontem ofiary lub jej sesją.

CVE-2026-26149
Critical

Improper neutralization of escape, meta, or control sequences in Microsoft Power Apps allows an authorized attacker to perform spoofing over a network.

CVE-2025-70023
Critical

W wersji 0.25.6 biblioteki transloadit uppy odkryto problem związany z CWE-843: Dostęp do zasobu przy użyciu niekompatybilnego typu.

CVE-2026-39813
CriticalEPSS 97%

A path traversal vulnerability in Fortinet FortiSandbox versions 5.0.0 through 5.0.5 and 4.4.0 through 4.4.8 may allow an attacker to escalate privileges via specially crafted HTTP requests.

CVE-2026-39808
Critical

W Fortinet FortiSandbox w wersjach od 4.4.0 do 4.4.8 występuje podatność na wstrzyknięcie poleceń systemowych z powodu niewłaściwego neutralizowania specjalnych elementów. Atakujący może wykorzystać tę lukę do wykonania nieautoryzowanego kodu lub poleceń.

PreviousPage 107 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS