CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.07)
ORY Oathkeeper to proxy tożsamości i dostępów, który autoryzuje żądania HTTP na podstawie zestawów reguł dostępu. Wersje przed 26.2.0 są podatne na obejście autoryzacji poprzez przejście ścieżki HTTP, co pozwala atakującemu na skonstruowanie URL-a, który może uzyskać dostęp do chronionej ścieżki.
EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_update_energy_transfer_modes kopiuje listę o zmiennej długości do tablicy o stałej długości 6 bez sprawdzania granic, co może prowadzić do nadpisania pamięci i awarii procesu.
EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_session_setup kopiuje listę opcji płatności o zmiennej długości do tablicy o stałej długości 2 bez sprawdzania granic, co może prowadzić do zapisów poza przydzieloną pamięcią.
OneUptime to platforma monitorowania i obserwowalności typu open-source. Przed wersją 10.0.35, użytkownik z niskimi uprawnieniami (ProjectMember) mógł zdalnie wykonać polecenia na kontenerze/gospodarzu Probe, wykorzystując wykonanie skryptu Synthetic Monitor Playwright. Wersja 10.0.35 zawiera poprawkę.
The plank/laravel-mediable package up to version 6.4.0 allows the upload of dangerous file types when an application accepts or prefers a client-supplied MIME type. This can lead to the upload of files containing executable PHP code, resulting in potential remote code execution.
Plack::Middleware::Session::Cookie versions through 0.21 for Perl has a vulnerability that allows remote code execution. An attacker can execute arbitrary code on the server during the deserialization of cookie data when no secret is used to sign the cookie.
Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0 używano funkcji unserialize() w metodzie AccessTokenAuthenticator::unserialize() do przywracania stanu tokena OAuth z pamięci podręcznej lub magazynu, co stwarza ryzyko wstrzyknięcia obiektów.
Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0, nazwy fixture były używane do budowania ścieżek plików w skonfigurowanym katalogu fixture bez walidacji, co prowadziło do podatności na traversję ścieżek.
Problem w mtrojnar Osslsigncode w wersji 2.10 i wcześniejszych umożliwia zdalnemu atakującemu eskalację uprawnień poprzez komponent osslsigncode.c.
W podatności CVE-2026-32573 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.2.7. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.
W podatności CVE-2026-32539 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do ataku typu Blind SQL Injection w wtyczce PublishPress Revisions. Problem dotyczy wersji od n/a do 3.7.23 włącznie.
Podatność CVE-2026-32536 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w aplikacji halfdata Green Downloads, co pozwala na wykorzystanie złośliwych plików. Problem ten dotyczy wersji Green Downloads od n/a do 2.08 włącznie.
Podatność CVE-2026-32525 dotyczy niewłaściwej kontroli generowania kodu w JetFormBuilder, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji JetFormBuilder od n/a do 3.5.6.1.
Podatność CVE-2026-32524 dotyczy silnika zdjęć Jordy Meow Photo Engine, umożliwiając nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Photo Engine od n/a do 6.4.9 włącznie.
Podatność CVE-2026-32523 dotyczy WPJAM Basic, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 6.9.2.
Podatność związana z nieprawidłowym przypisaniem uprawnień w RewardsWP pozwala na eskalację uprawnień. Problem ten dotyczy wersji RewardsWP od n/a do 1.0.4 włącznie.
W podatności CVE-2026-32519 w aplikacji Bit SMTP występuje nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji Bit SMTP od n/a do 1.2.2 włącznie.
Podatność CVE-2026-32512 dotyczy deserializacji niezaufanych danych w motywie Edge-Themes Pelicula, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Pelicula od n/a do poniżej 1.10.
Podatność CVE-2026-32502 dotyczy deserializacji niezaufanych danych w motywie Borgholm od Select-Themes, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Borgholm od n/a do poniżej 1.6.
Podatność CVE-2026-32499 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w chatbotie QuantumCloud ChatBot, co umożliwia atak typu Blind SQL Injection. Problem ten dotyczy wersji ChatBot od n/a do 7.7.9 włącznie.

