CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.07)
Notesnook to aplikacja do robienia notatek. W wersjach przed 3.3.11 na platformach Web/Desktop oraz 3.3.17 na Android/iOS występuje podatność na przechowywane XSS w procesie renderowania Web Clipper, co może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej.
A vulnerability in Handlebars versions 4.0.0 through 4.7.8 allows remote code execution (RCE) by supplying a crafted AST object to the `compile()` function. An attacker can inject arbitrary JavaScript because the `NumberLiteral` value is emitted without sanitization.
Platforma Federated Learning and Interoperability Platform (FLIP) w wersjach 0.1.1 i wcześniejszych nie posiada ograniczeń dotyczących liczby prób logowania ani mechanizmu CAPTCHA, co umożliwia ataki typu brute-force oraz credential-stuffing. Użytkownicy FLIP są zewnętrzni w stosunku do organizacji, co zwiększa ryzyko ponownego wykorzystania poświadczeń.
Gematik Authenticator zapewnia bezpieczną autoryzację użytkowników do logowania się do aplikacji zdrowotnych. Wersje przed 4.16.0 są podatne na przejęcie procesu autoryzacji, co może pozwolić atakującym na uwierzytelnienie się jako ofiary, które kliknęły złośliwy link.
Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.0 funkcja Agentic Assistant wykonuje kod Python generowany przez LLM podczas fazy walidacji, co może prowadzić do nieautoryzowanego wykonania kodu na serwerze.
Home Assistant to oprogramowanie do automatyzacji domu, które stawia na lokalną kontrolę i prywatność. Aplikacje Home Assistant skonfigurowane w trybie sieci hosta udostępniają nieautoryzowane punkty końcowe, które są związane z wewnętrznym interfejsem mostka Docker, co pozwala na dostęp z lokalnej sieci bez uwierzytelnienia.
Interfejs administracyjny Pi-hole, używany do zarządzania aplikacją blokującą reklamy i śledzenie w sieci, ma krytyczną podatność na wstrzykiwanie poleceń systemowych w pliku savesettings.php. Wersje przed 6.0 nie sanitizują ani nie walidują parametru $_POST['webtheme'], co pozwala atakującemu na dodanie dowolnych poleceń systemowych.
W wersjach przed 0.1.6 asystent AI 'nanobot' ma podatność na pośrednie wstrzykiwanie poleceń w module przetwarzania wiadomości e-mail. Atakujący może wysłać złośliwe polecenia do monitorowanego adresu e-mail bota, co pozwala na wykonanie dowolnych instrukcji LLM bez interakcji właściciela bota.
Fleet to oprogramowanie do zarządzania urządzeniami typu open source. Przed wersją 4.81.1 występowała podatność na wstrzykiwanie poleceń w procesie instalacji oprogramowania, która pozwalała atakującemu na wykonanie dowolnego kodu jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych hostach podczas wywołania dezinstalacji przygotowanego pakietu oprogramowania. Wersja 4.81.1 naprawia ten problem.
WWBN AVideo to otwarta platforma wideo. W wersjach do 26.0 w metodzie `Live_schedule::keyExists()` zapytanie SQL jest konstruowane poprzez interpolację klucza strumienia bez parametryzacji, co stwarza ryzyko SQL injection.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku admin/manage_product.php poprzez parametr 'id'.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.
W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.
Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.
OpenBao prior to version 2.5.2 does not prompt for user confirmation when logging in via JWT/OIDC with a role set to `callback_mode=direct`. This allows an attacker to perform remote phishing by having the victim automatically log into the attacker's session.
W projekcie automatycznego wykonywania poleceń terminalowych, AI Code oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.
Moduł automatycznej akceptacji poleceń w Axon Code zawiera podatność na wstrzyknięcie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który jest niekompatybilny z systemem Windows.
A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to remote arbitrary code execution (RCE). This is enabled by a feature in Grafana (OSS), so all users are recommended to update.
Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonanie dowolnych poleceń systemowych przez sieć.

