CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.07)
Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonywanie dowolnych poleceń systemowych przez sieć.
Podatność typu Path Traversal w serii Aterm firmy NEC Platforms umożliwia atakującemu nadpisanie dowolnego pliku przez sieć.
Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.
W produktach routerów Wi-Fi BUFFALO występuje ukryty problem z funkcjonalnością, który może umożliwić atakującemu dostęp do funkcji debugowania urządzenia, co skutkuje możliwością wykonania dowolnych poleceń systemu operacyjnego.
W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie kodu. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na tych urządzeniach.
W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego polecenia systemowego na tych urządzeniach.
In Spring AI, a SpEL injection vulnerability exists in SimpleVectorStore when a user-supplied value is used as a filter expression key. A malicious actor could exploit this to execute arbitrary code.
MyTube to samodzielnie hostowany downloader i odtwarzacz dla kilku stron wideo. Przed wersją 1.8.71, nieautoryzowany atakujący mógł zarejestrować dowolny klucz dostępu i uzyskać pełną sesję administratora, ponieważ aplikacja udostępniała punkty rejestracji kluczy dostępu bez wymogu wcześniejszej autoryzacji.
OpenFGA to wydajny i elastyczny silnik autoryzacji, który w wersjach przed 1.13.1 może w określonych warunkach generować ten sam klucz pamięci podręcznej dla różnych żądań sprawdzających. Może to prowadzić do ponownego użycia wcześniejszego wyniku z pamięci podręcznej dla innego żądania, co wpływa na użytkowników korzystających z modeli z relacjami opartymi na ocenie warunków.
Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.
A vulnerability in OpenTelemetry Java Instrumentation prior to version 2.26.1 allows remote code execution via deserialization without filters in the RMI integration. The attack requires network access to a JMX/RMI port on a JVM running JDK 16 or earlier and a gadget-chain library on the classpath.
Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0, atakujący mógł skonfigurować klucz, który pozwalał na zapisanie danych poza katalogiem `credentials`, co umożliwiało eskalację uprawnień oraz ataki typu denial of service.
Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0 pliki szablonów instancji mogły być wykorzystane do dowolnego odczytu lub zapisu jako root na serwerze hosta, co wynika z błędnej implementacji mechanizmu izolacji chroot w szablonach pongo2.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 interfejs /api/file/readDir umożliwiał przeszukiwanie i pobieranie nazw plików wszystkich dokumentów w notatniku. Wersja 3.6.2 naprawia ten problem.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 identyfikatory dokumentów były pobierane za pomocą interfejsu /api/file/readDir, a następnie interfejs /api/block/getChildBlocks był używany do przeglądania zawartości wszystkich dokumentów. Wersja 3.6.2 naprawia ten problem.
Outline to usługa umożliwiająca współpracę nad dokumentacją. W wersjach od 0.86.0 do 1.6.0, Outline nie unieważnia kodów OTP na podstawie liczby lub częstotliwości nieprawidłowych prób, co pozwala na obejście ograniczeń i umożliwia ataki brute force na konta użytkowników.
Tandoor Recipes to aplikacja do zarządzania przepisami, planowania posiłków i tworzenia list zakupów. W wersjach przed 2.6.0, aplikacja konfiguruje Django REST Framework z BasicAuthentication jako jednym z domyślnych mechanizmów uwierzytelniania, co pozwala na ataki typu brute force bez ograniczeń.
A vulnerability in FuelCMS v1.5.2 allows attackers to exfiltrate users' password reset tokens via a mail splitting attack.
A vulnerability in the /parser/dwoo component of FuelCMS v1.5.2 allows attackers to execute arbitrary PHP code via crafted input.
Wersje oprogramowania thingino-firmware do wydania firmware-2026-03-16 zawierają podatność na wstrzykiwanie poleceń systemowych bez uwierzytelnienia w skrypcie CGI portalu WiFi. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń jako root poprzez wstrzykiwanie złośliwego kodu przez niesanitizowane nazwy parametrów HTTP.

