CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-40035
Critical

Unfurl w wersji 2025.08 zawiera podatność na niewłaściwą walidację wejścia w analizie konfiguracji, która domyślnie włącza tryb debugowania Flask. Wartość konfiguracji debugowania jest odczytywana jako ciąg znaków i przekazywana bezpośrednio do app.run(), co pozwala na ocenę każdej niepustej wartości jako prawdziwej.

CVE-2026-39892
Critical

A vulnerability in the cryptography library for Python (versions 45.0.0 to 46.0.6) allows buffer overflow when processing non-contiguous buffers passed to APIs that accept Python buffers, such as Hash.update(). The issue is fixed in version 46.0.7.

CVE-2026-39890
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.115 metoda AgentService.loadAgentFromFile wykorzystuje bibliotekę js-yaml do analizy plików YAML, nie wyłączając niebezpiecznych znaczników, co pozwala na wykonanie dowolnego kodu JavaScript przez atakującego.

CVE-2026-39888
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach przed 1.5.115 funkcja execute_code() w praisonaiagents.tools.python_tools domyślnie ustawia sandbox_mode na 'sandbox', co pozwala na uruchamianie kodu użytkownika w subprocessie z ograniczonym słownikiem __builtins__ i blokadą opartą na AST. Blokada ta nie obejmuje wszystkich atrybutów, co umożliwia obejście zabezpieczeń.

CVE-2026-39860
Critical

Nix to menedżer pakietów dla systemów Linux i innych systemów Unix. Błąd w poprawce dla CVE-2024-27297 umożliwia dowolne nadpisywanie plików, które mogą być zapisywane przez proces Nix, co może prowadzić do uzyskania uprawnień roota przez użytkowników w instalacjach wieloużytkownikowych.

CVE-2026-2942
Critical

Wtyczka ProSolution WP Client dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'proSol_fileUploadProcess' we wszystkich wersjach do 1.9.9 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2025-52221
Critical

Tenda AC6 w wersji 15.03.05.16_multi jest podatna na przepełnienie bufora w funkcji formSetCfm, które występuje poprzez parametry funcname, funcpara1 i funcpara2.

CVE-2026-31017
Critical

A Server-Side Request Forgery (SSRF) vulnerability was found in the Print Format functionality of ERPNext v16.0.1 and Frappe Framework v16.1.1. Insufficient sanitization of user-supplied HTML allows embedding elements like <iframe> that are fetched server-side. An attacker can force the server to make arbitrary HTTP requests to internal services, including cloud metadata endpoints, potentially leading to sensitive information disclosure.

CVE-2023-46945
Critical

QD 20230821 jest podatny na atak typu Server-side request forgery (SSRF) poprzez odpowiednio skonstruowane żądanie. Atakujący może wykorzystać tę podatność do wysyłania żądań do wewnętrznych zasobów serwera.

CVE-2026-33229
Critical

Platforma XWiki to ogólna platforma wiki oferująca usługi uruchomieniowe dla aplikacji zbudowanych na jej podstawie. Przed wersjami 17.4.8 i 17.10.1, niewłaściwie zabezpieczone API skryptowe pozwalało każdemu użytkownikowi z prawami skryptowymi na ominięcie piaskownicy API skryptowego Velocity i wykonanie dowolnych skryptów Pythona, co umożliwiało pełny dostęp do instancji XWiki.

CVE-2026-31040
Critical

Zidentyfikowano podatność w stata-mcp przed wersją 1.13.0, gdzie niewystarczająca walidacja treści plików do-file dostarczonych przez użytkownika może prowadzić do wykonania nieautoryzowanych poleceń.

CVE-2026-39640
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w motywie Theme Editor mndpsingh287 umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Theme Editor od n/a do 3.2 włącznie.

CVE-2026-39620
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Appointment pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Appointment od n/a do 3.5.5 włącznie.

CVE-2026-39619
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Busiprof umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Busiprof od n/a do 2.5.2 włącznie.

CVE-2026-39617
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w aplikacji Bluestreet pozwala na przeprowadzenie ataków CSRF. Problem ten dotyczy wersji Bluestreet od n/a do 1.7.3 włącznie.

CVE-2026-33088
Critical

Movable Type dostarczany przez Six Apart Ltd. zawiera podatność na wstrzykiwanie SQL, która może umożliwić atakującemu wykonanie dowolnego polecenia SQL.

CVE-2026-25776
Critical

Movable Type dostarczany przez Six Apart Ltd. zawiera podatność na wstrzykiwanie kodu, która może umożliwić atakującemu wykonanie dowolnego skryptu Perl.

CVE-2026-3535
Critical

Wtyczka DSGVO Google Web Fonts GDPR dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji `DSGVOGWPdownloadGoogleFonts()`. Funkcja ta jest dostępna przez hak `wp_ajax_nopriv_`, co nie wymaga uwierzytelnienia, i umożliwia atakującym przesyłanie dowolnych plików, w tym webshelli PHP.

CVE-2026-4003
Critical

Wtyczka Users manager – PN dla WordPressa jest podatna na eskalację uprawnień poprzez aktualizację dowolnych metadanych użytkownika we wszystkich wersjach do i włącznie z 1.1.15. Problem wynika z błędnej logiki autoryzacji w funkcji userspn_ajax_nopriv_server(), która nie blokuje dostępu w przypadku podania niepustego user_id.

CVE-2026-3296
Critical

Wtyczka Everest Forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do 3.4.3 włącznie, poprzez deserializację nieufnych danych wejściowych z metadanych wpisów formularzy. Problem wynika z wywołania funkcji PHP unserialize() na przechowywanych wartościach metadanych bez przekazania parametru allowed_classes.

PreviousPage 114 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS