CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-33976
Critical

Notesnook to aplikacja do robienia notatek. W wersjach przed 3.3.11 na platformach Web/Desktop oraz 3.3.17 na Android/iOS występuje podatność na przechowywane XSS w procesie renderowania Web Clipper, co może prowadzić do zdalnego wykonania kodu w aplikacji desktopowej.

CVE-2026-33937
CriticalEPSS 75%

A vulnerability in Handlebars versions 4.0.0 through 4.7.8 allows remote code execution (RCE) by supplying a crafted AST object to the `compile()` function. An attacker can inject arbitrary JavaScript because the `NumberLiteral` value is emitted without sanitization.

CVE-2026-33879
Critical

Platforma Federated Learning and Interoperability Platform (FLIP) w wersjach 0.1.1 i wcześniejszych nie posiada ograniczeń dotyczących liczby prób logowania ani mechanizmu CAPTCHA, co umożliwia ataki typu brute-force oraz credential-stuffing. Użytkownicy FLIP są zewnętrzni w stosunku do organizacji, co zwiększa ryzyko ponownego wykorzystania poświadczeń.

CVE-2026-33875
Critical

Gematik Authenticator zapewnia bezpieczną autoryzację użytkowników do logowania się do aplikacji zdrowotnych. Wersje przed 4.16.0 są podatne na przejęcie procesu autoryzacji, co może pozwolić atakującym na uwierzytelnienie się jako ofiary, które kliknęły złośliwy link.

CVE-2026-33873
Critical

Langflow to narzędzie do budowania i wdrażania agentów oraz przepływów pracy opartych na AI. W wersjach przed 1.9.0 funkcja Agentic Assistant wykonuje kod Python generowany przez LLM podczas fazy walidacji, co może prowadzić do nieautoryzowanego wykonania kodu na serwerze.

CVE-2026-34205
Critical

Home Assistant to oprogramowanie do automatyzacji domu, które stawia na lokalną kontrolę i prywatność. Aplikacje Home Assistant skonfigurowane w trybie sieci hosta udostępniają nieautoryzowane punkty końcowe, które są związane z wewnętrznym interfejsem mostka Docker, co pozwala na dostęp z lokalnej sieci bez uwierzytelnienia.

CVE-2026-33765
Critical

Interfejs administracyjny Pi-hole, używany do zarządzania aplikacją blokującą reklamy i śledzenie w sieci, ma krytyczną podatność na wstrzykiwanie poleceń systemowych w pliku savesettings.php. Wersje przed 6.0 nie sanitizują ani nie walidują parametru $_POST['webtheme'], co pozwala atakującemu na dodanie dowolnych poleceń systemowych.

CVE-2026-33654
Critical

W wersjach przed 0.1.6 asystent AI 'nanobot' ma podatność na pośrednie wstrzykiwanie poleceń w module przetwarzania wiadomości e-mail. Atakujący może wysłać złośliwe polecenia do monitorowanego adresu e-mail bota, co pozwala na wykonanie dowolnych instrukcji LLM bez interakcji właściciela bota.

CVE-2026-34387
Critical

Fleet to oprogramowanie do zarządzania urządzeniami typu open source. Przed wersją 4.81.1 występowała podatność na wstrzykiwanie poleceń w procesie instalacji oprogramowania, która pozwalała atakującemu na wykonanie dowolnego kodu jako root (macOS/Linux) lub SYSTEM (Windows) na zarządzanych hostach podczas wywołania dezinstalacji przygotowanego pakietu oprogramowania. Wersja 4.81.1 naprawia ten problem.

CVE-2026-34374
Critical

WWBN AVideo to otwarta platforma wideo. W wersjach do 26.0 w metodzie `Live_schedule::keyExists()` zapytanie SQL jest konstruowane poprzez interpolację klucza strumienia bez parametryzacji, co stwarza ryzyko SQL injection.

CVE-2026-33770
Critical

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 w metodzie `fixCleanTitle()` w pliku `objects/category.php` zapytanie SQL SELECT jest konstruowane poprzez bezpośrednie interpolowanie zmiennych `$clean_title` i `$id`, co umożliwia atakującemu wstrzyknięcie dowolnego SQL, jeśli ma możliwość wywołania tworzenia lub zmiany nazwy kategorii.

CVE-2026-30533
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku admin/manage_product.php poprzez parametr 'id'.

CVE-2026-30532
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzyknięcie SQL w pliku admin/view_product.php poprzez parametr 'id'.

CVE-2026-30530
Critical

W systemie zamówień online SourceCodester v1.0 występuje podatność na wstrzykiwanie SQL w pliku Actions.php, w akcji save_customer. Aplikacja nieprawidłowo sanitizuje dane wejściowe dostarczane do parametru 'username', co umożliwia atakującemu wstrzyknięcie złośliwych poleceń SQL.

CVE-2026-30302
Critical

Moduł automatycznej akceptacji poleceń w CodeRider-Kilo zawiera podatność na wstrzykiwanie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który nie jest zgodny z systemem Windows, oraz z błędnego obsługiwania sekwencji ucieczki specyficznych dla CMD Windows.

CVE-2026-33757
Critical

OpenBao prior to version 2.5.2 does not prompt for user confirmation when logging in via JWT/OIDC with a role set to `callback_mode=direct`. This allows an attacker to perform remote phishing by having the victim automatically log into the attacker's session.

CVE-2026-30304
Critical

W projekcie automatycznego wykonywania poleceń terminalowych, AI Code oferuje dwie opcje: wykonywanie bezpiecznych poleceń oraz wykonywanie wszystkich poleceń. System jest podatny na ataki typu prompt injection, co pozwala atakującemu na obejście wymogu zatwierdzenia przez użytkownika i wykonanie dowolnych poleceń.

CVE-2026-30303
Critical

Moduł automatycznej akceptacji poleceń w Axon Code zawiera podatność na wstrzyknięcie poleceń systemowych, co czyni mechanizm białej listy nieskutecznym. Problem wynika z niewłaściwego użycia parsera poleceń, który jest niekompatybilny z systemem Windows.

CVE-2026-27876
CriticalEPSS 77%

A chained attack via SQL Expressions and a Grafana Enterprise plugin can lead to remote arbitrary code execution (RCE). This is enabled by a feature in Grafana (OSS), so all users are recommended to update.

CVE-2026-4622
Critical

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonanie dowolnych poleceń systemowych przez sieć.

PreviousPage 127 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS