CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-35216
Critical

Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4, nieautoryzowany atakujący mógł uzyskać zdalne wykonanie kodu (RCE) na serwerze Budibase, uruchamiając automatyzację zawierającą krok Bash za pośrednictwem publicznego punktu końcowego webhook. Nie jest wymagana autoryzacja do wywołania exploita.

CVE-2026-31818
Critical

Budibase to otwartoźródłowa platforma low-code. Przed wersją 3.33.4 występuje podatność typu server-side request forgery (SSRF) w konektorze źródła danych REST, ponieważ mechanizm ochrony przed SSRF (czarna lista IP) jest nieskuteczny z powodu braku domyślnego ustawienia zmiennej środowiskowej BLACKLIST_IPS w oficjalnych konfiguracjach wdrożeniowych.

CVE-2026-31402
Critical

In the Linux kernel, a vulnerability in NFSv4.0 LOCK replay cache causes heap overflow when a denied LOCK response includes a large lock owner (up to 1024 bytes) into a 112-byte buffer. An attacker can trigger a slab-out-of-bounds write of up to 944 bytes, corrupting adjacent heap memory.

CVE-2026-23427
Critical

W jądrze systemu Linux zidentyfikowano podatność związana z użyciem po zwolnieniu pamięci (use-after-free) w kontekście DURABLE_REQ_V2, co może prowadzić do dereferencji nieaktualnego wskaźnika. Problem występuje w funkcji parse_durable_handle_context(), która niepoprawnie przypisuje połączenie do aktywnych uchwytów plików.

CVE-2026-33107
Critical

Podatność typu server-side request forgery (SSRF) w Azure Databricks umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-33105
Critical

Nieprawidłowa autoryzacja w usłudze Microsoft Azure Kubernetes Service umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32213
Critical

Nieprawidłowa autoryzacja w Azure AI Foundry umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-32211
Critical

Brak uwierzytelnienia dla krytycznej funkcji w serwerze Azure MCP umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-26135
Critical

Podatność CVE-2026-26135 dotyczy ataku typu server-side request forgery (SSRF) w Azure Custom Locations Resource Provider, który pozwala autoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-35053
Critical

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 miała w usłudze Worker ManualAPI nieautoryzowane punkty końcowe do uruchamiania procesów roboczych. Atakujący, który zdobędzie lub odgadnie identyfikator procesu roboczego, może wywołać dowolne wykonanie procesu roboczego z kontrolowanymi przez siebie danymi wejściowymi.

CVE-2026-34932
Critical

Hoppscotch to otwarte źródło ekosystemu do tworzenia API. Przed wersją 2026.3.0 występowała podatność na przechowywane XSS, która mogła prowadzić do ataków CSRF. Problem został naprawiony w wersji 2026.3.0.

CVE-2026-34931
Critical

Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.3.0 występowała podatność na otwarte przekierowanie, która prowadziła do wycieku tokenów. Dzięki tym tokenom atakujący mógł zalogować się jako ofiara i przejąć jej konto.

CVE-2026-34838
Critical

Group-Office to narzędzie do zarządzania relacjami z klientami i grupowe. W wersjach przed 6.8.156, 25.0.90 i 26.0.12 występuje podatność w modelu AbstractSettingsCollection, która prowadzi do niebezpiecznej deserializacji ustawień, co umożliwia atakującemu z odpowiednimi uprawnieniami wykonanie złośliwego kodu na serwerze.

CVE-2024-14034
Critical

Urządzenia Hirschmann HiEOS w wersjach przed 01.1.00 zawierają podatność na obejście uwierzytelniania w module zarządzania HTTP(S). Umożliwia to nieautoryzowanym atakującym zdalny dostęp administracyjny poprzez wysyłanie specjalnie skonstruowanych żądań HTTP(S).

CVE-2026-34758
Critical

OneUptime to platforma do monitorowania i obserwacji, która przed wersją 10.0.42 umożliwiała nieautoryzowany dostęp do punktów końcowych zarządzania testami powiadomień oraz numerami telefonów. To stwarzało możliwość nadużyć związanych z SMS-ami, połączeniami, e-mailami oraz WhatsAppem, a także zakupem numerów telefonów.

CVE-2026-34745
Critical

Fireshare umożliwia samodzielne hostowanie mediów i udostępnianie linków. W wersjach przed 1.5.3 poprawka dla CVE-2026-33645 została zastosowana do uwierzytelnionego punktu końcowego /api/uploadChunked, ale nie została zastosowana do nieautoryzowanego punktu końcowego /api/uploadChunked/public, co pozwala na wykorzystanie podatności.

CVE-2026-34717
Critical

OpenProject to oprogramowanie do zarządzania projektami w chmurze. W wersjach przed 17.2.3 operator =n w pliku modules/reporting/lib/report/operator.rb:177 wprowadza dane użytkownika bezpośrednio do klauzul WHERE SQL bez parametryzacji, co może prowadzić do ataków SQL injection.

CVE-2026-34877
Critical

W Mbed TLS w wersjach od 2.19.0 do 3.6.5 oraz w wersji 4.0.0 odkryto problem związany z niewystarczającą ochroną zserializowanych struktur kontekstu SSL lub sesji. Umożliwia to atakującemu, który może modyfikować te struktury, wywołanie uszkodzenia pamięci, co prowadzi do wykonania dowolnego kodu.

CVE-2026-33950
Critical

Signal K Server to aplikacja serwerowa działająca na centralnym hubie w łodzi. Przed wersją 2.24.0-beta.4 istniała podatność na eskalację uprawnień poprzez wstrzyknięcie roli administratora za pomocą /enableSecurity.

CVE-2026-25212
Critical

W wersjach Percona PMM przed 3.7 odkryto problem związany z wewnętrznym użytkownikiem bazy danych, który posiada określone uprawnienia superużytkownika. Atakujący z prawami pmm-admin może wykorzystać funkcję 'Dodaj źródło danych', aby wydostać się z kontekstu bazy danych i wykonać polecenia powłoki w systemie operacyjnym.

PreviousPage 120 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS