CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.07)
Kedro to narzędzie do produkcyjnej analizy danych. W wersjach przed 1.3.0, Kedro pozwalał na ustawienie ścieżki do pliku konfiguracyjnego logowania za pomocą zmiennej środowiskowej KEDRO_LOGGING_CONFIG i ładował go bez walidacji, co umożliwiało wykonanie dowolnych poleceń systemowych podczas uruchamiania aplikacji.
D-Tale, będący połączeniem backendu Flask i frontendu React do przeglądania i analizy struktur danych Pandas, przed wersją 3.22.0 był podatny na zdalne wykonanie kodu. Użytkownicy hostujący D-Tale publicznie z wykorzystaniem warstwy przechowywania redis lub shelf mogli być narażeni na ataki umożliwiające uruchomienie złośliwego kodu na serwerze.
Podatność w text-generation-webui przed wersją 4.1.1 pozwala użytkownikom na zapisywanie ustawień rozszerzeń w formacie 'py' w katalogu głównym aplikacji. To umożliwia nadpisywanie plików Pythona, co może prowadzić do wykonania złośliwego kodu.
Brave CMS to otwartoźródłowy system zarządzania treścią. W wersjach przed 2.0.6 występuje podatność na nieograniczone przesyłanie plików w punkcie końcowym CKEditor, co pozwala atakującym na przesyłanie dowolnych plików, w tym skryptów wykonywalnych.
fast-jwt to szybka implementacja JSON Web Token (JWT). W wersjach od 0.0.1 do przed 6.2.0, niewłaściwe skonfigurowanie metody cacheKeyBuilder może prowadzić do kolizji w pamięci podręcznej, co skutkuje błędną identyfikacją tokenów podczas weryfikacji.
In LiteLLM before version 1.83.0, when JWT authentication is enabled (enable_jwt_auth: true), the OIDC userinfo cache uses the first 20 characters of the token as the cache key. Since JWT headers produced by the same signing algorithm generate identical first 20 characters, an unauthenticated attacker can craft a token matching the cache and inherit a legitimate user's identity and permissions.
CVE-2026-34989 dotyczy aplikacji CI4MS, która nieprawidłowo sanitizuje dane wejściowe kontrolowane przez użytkownika podczas aktualizacji nazwy profilu. Atakujący może wstrzyknąć złośliwy kod JavaScript, który jest następnie przechowywany na serwerze i wyświetlany w różnych widokach aplikacji bez odpowiedniego kodowania wyjścia, co prowadzi do ataku typu stored XSS.
Aperi'Solve is an open-source steganalysis platform that in versions 3.1.3 through 3.2.0 allows uploading JPEG files with an optional password. This password is passed directly into an expect command without any validation, enabling remote code execution at the root level by an unauthenticated attacker.
Dgraph to otwartoźródłowa rozproszona baza danych GraphQL. W wersjach przed 25.3.1 brakowało autoryzacji dla mutacji restoreTenant, co umożliwiało nieautoryzowanym atakującym jej wykorzystanie do nadpisania bazy danych oraz uzyskania dostępu do plików serwera.
Bruno to otwarte źródło IDE do eksploracji i testowania API. Przed wersją 3.2.1, Bruno było narażone na atak łańcucha dostaw związany z skompromitowanymi wersjami pakietu axios npm, co wprowadziło ukrytą zależność wdrażającą wieloplatformowego trojana zdalnego dostępu (RAT).
W wersjach 6.1.0 i wcześniejszych, regex publicKeyPemMatcher w fast-jwt/src/crypto.js używa kotwicy ^, która jest ignorowana przez wszelkie wiodące białe znaki w ciągu klucza. To umożliwia ponowne wykorzystanie ataku na algorytm JWT, który został załatany w CVE-2023-48223.
Lupa integrates Lua or LuaJIT2 runtimes into CPython. In version 2.6 and earlier, the attribute filter is not consistently applied when attributes are accessed via built-in functions like getattr and setattr. This allows an attacker to bypass intended restrictions and eventually achieve arbitrary code execution.
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.36, ochrona przed bezpośrednim przypisaniem do obiektów globalnych mogła być obejściem przez wywołanie konstruktorów, co pozwalało na zapisanie dowolnych właściwości w obiektach globalnych hosta.
Problem w mechanizmie logowania Kaleris YMS v7.2.2.1 umożliwia atakującym ominięcie weryfikacji logowania, co pozwala na dostęp do zasobów aplikacji.
W komponentach /goform/formDia urządzenia UTT Aggressive HiPER 520W v3v1.7.7-180627 występuje podatność na zdalne wykonanie poleceń (RCE). Umożliwia ona atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio skonstruowanego ciągu.
GLPI to darmowe oprogramowanie do zarządzania zasobami i IT. W wersjach od 11.0.0 do przed 11.0.6, wstrzyknięcie szablonu przez administratora prowadziło do zdalnego wykonania kodu (RCE). Ta podatność została naprawiona w wersji 11.0.6.
Pegasus CMS w wersji 1.0 zawiera podatność na zdalne wykonanie kodu w wtyczce extra_fields.php, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wykorzystanie niebezpiecznej funkcji eval. Atakujący mogą wysyłać żądania POST do punktu końcowego submit.php z złośliwym kodem PHP w parametrze action, co prowadzi do wykonania kodu i uzyskania interaktywnej powłoki.
NICO-FTP w wersji 3.0.1.19 zawiera podatność na przepełnienie bufora w obsłudze wyjątków, która pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez wysyłanie spreparowanych poleceń FTP. Atakujący mogą połączyć się z usługą FTP i wysłać nadmiarowe dane w odpowiedziach, aby nadpisać wskaźniki SEH i przekierować wykonanie do wstrzykniętego kodu.
Snews CMS w wersji 1.7 zawiera podatność na nieograniczone przesyłanie plików, która pozwala nieautoryzowanym atakującym na przesyłanie dowolnych plików, w tym skryptów PHP, do katalogu snews_files. Atakujący mogą przesyłać złośliwe pliki PHP przez punkt końcowy przesyłania danych multipart/form-data i wykonywać je, uzyskując dostęp do ścieżki przesłanego pliku.
W Fortinet FortiClientEMS w wersjach 7.4.5 do 7.4.6 występuje podatność związana z niewłaściwą kontrolą dostępu, która może umożliwić nieautoryzowanemu atakującemu wykonanie nieautoryzowanego kodu lub poleceń za pomocą odpowiednio przygotowanych żądań.

