CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-4620
Critical

Podatność typu OS Command Injection w serii Aterm firmy NEC Platforms, Ltd. umożliwia atakującemu wykonywanie dowolnych poleceń systemowych przez sieć.

CVE-2026-4619
Critical

Podatność typu Path Traversal w serii Aterm firmy NEC Platforms umożliwia atakującemu nadpisanie dowolnego pliku przez sieć.

CVE-2026-25101
Critical

Bludit pozwala na ustawienie identyfikatora sesji użytkownika przed uwierzytelnieniem, a jego wartość pozostaje taka sama po uwierzytelnieniu. Taka sytuacja umożliwia atakującemu przypisanie identyfikatora sesji ofiary i późniejsze przejęcie uwierzytelnionej sesji.

CVE-2026-33280
Critical

W produktach routerów Wi-Fi BUFFALO występuje ukryty problem z funkcjonalnością, który może umożliwić atakującemu dostęp do funkcji debugowania urządzenia, co skutkuje możliwością wykonania dowolnych poleceń systemu operacyjnego.

CVE-2026-32669
Critical

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie kodu. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego kodu na tych urządzeniach.

CVE-2026-27650
Critical

W produktach routerów Wi-Fi BUFFALO występuje podatność na wstrzykiwanie poleceń systemowych. W przypadku jej wykorzystania, możliwe jest wykonanie dowolnego polecenia systemowego na tych urządzeniach.

CVE-2026-22738
Critical

In Spring AI, a SpEL injection vulnerability exists in SimpleVectorStore when a user-supplied value is used as a filter expression key. A malicious actor could exploit this to execute arbitrary code.

CVE-2026-33890
Critical

MyTube to samodzielnie hostowany downloader i odtwarzacz dla kilku stron wideo. Przed wersją 1.8.71, nieautoryzowany atakujący mógł zarejestrować dowolny klucz dostępu i uzyskać pełną sesję administratora, ponieważ aplikacja udostępniała punkty rejestracji kluczy dostępu bez wymogu wcześniejszej autoryzacji.

CVE-2026-33729
Critical

OpenFGA to wydajny i elastyczny silnik autoryzacji, który w wersjach przed 1.13.1 może w określonych warunkach generować ten sam klucz pamięci podręcznej dla różnych żądań sprawdzających. Może to prowadzić do ponownego użycia wcześniejszego wyniku z pamięci podręcznej dla innego żądania, co wpływa na użytkowników korzystających z modeli z relacjami opartymi na ocenie warunków.

CVE-2026-33728
Critical

Podatność w dd-trace-java, kliencie APM dla Javy, pozwala na deserializację danych bez zastosowania filtrów serializacji w wersjach od 0.40.0 do przed 1.60.2. Atakujący z dostępem do portu JMX lub RMI na instrumentowanej JVM może wykorzystać tę lukę do potencjalnego zdalnego wykonania kodu.

CVE-2026-33701
CriticalEPSS 56%

A vulnerability in OpenTelemetry Java Instrumentation prior to version 2.26.1 allows remote code execution via deserialization without filters in the RMI integration. The attack requires network access to a JMX/RMI port on a JVM running JDK 16 or earlier and a gadget-chain library on the classpath.

CVE-2026-33945
Critical

Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0, atakujący mógł skonfigurować klucz, który pozwalał na zapisanie danych poza katalogiem `credentials`, co umożliwiało eskalację uprawnień oraz ataki typu denial of service.

CVE-2026-33897
Critical

Incus to menedżer kontenerów systemowych i maszyn wirtualnych. W wersjach przed 6.23.0 pliki szablonów instancji mogły być wykorzystane do dowolnego odczytu lub zapisu jako root na serwerze hosta, co wynika z błędnej implementacji mechanizmu izolacji chroot w szablonach pongo2.

CVE-2026-33670
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 interfejs /api/file/readDir umożliwiał przeszukiwanie i pobieranie nazw plików wszystkich dokumentów w notatniku. Wersja 3.6.2 naprawia ten problem.

CVE-2026-33669
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.6.2 identyfikatory dokumentów były pobierane za pomocą interfejsu /api/file/readDir, a następnie interfejs /api/block/getChildBlocks był używany do przeglądania zawartości wszystkich dokumentów. Wersja 3.6.2 naprawia ten problem.

CVE-2026-33640
Critical

Outline to usługa umożliwiająca współpracę nad dokumentacją. W wersjach od 0.86.0 do 1.6.0, Outline nie unieważnia kodów OTP na podstawie liczby lub częstotliwości nieprawidłowych prób, co pozwala na obejście ograniczeń i umożliwia ataki brute force na konta użytkowników.

CVE-2026-33152
Critical

Tandoor Recipes to aplikacja do zarządzania przepisami, planowania posiłków i tworzenia list zakupów. W wersjach przed 2.6.0, aplikacja konfiguruje Django REST Framework z BasicAuthentication jako jednym z domyślnych mechanizmów uwierzytelniania, co pozwala na ataki typu brute force bez ograniczeń.

CVE-2026-30458
Critical

A vulnerability in FuelCMS v1.5.2 allows attackers to exfiltrate users' password reset tokens via a mail splitting attack.

CVE-2026-30457
Critical

A vulnerability in the /parser/dwoo component of FuelCMS v1.5.2 allows attackers to execute arbitrary PHP code via crafted input.

CVE-2026-26213
Critical

Wersje oprogramowania thingino-firmware do wydania firmware-2026-03-16 zawierają podatność na wstrzykiwanie poleceń systemowych bez uwierzytelnienia w skrypcie CGI portalu WiFi. Umożliwia to zdalnym atakującym wykonywanie dowolnych poleceń jako root poprzez wstrzykiwanie złośliwego kodu przez niesanitizowane nazwy parametrów HTTP.

PreviousPage 128 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS