CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-33494
Critical

ORY Oathkeeper to proxy tożsamości i dostępów, który autoryzuje żądania HTTP na podstawie zestawów reguł dostępu. Wersje przed 26.2.0 są podatne na obejście autoryzacji poprzez przejście ścieżki HTTP, co pozwala atakującemu na skonstruowanie URL-a, który może uzyskać dostęp do chronionej ścieżki.

CVE-2026-27816
Critical

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_update_energy_transfer_modes kopiuje listę o zmiennej długości do tablicy o stałej długości 6 bez sprawdzania granic, co może prowadzić do nadpisania pamięci i awarii procesu.

CVE-2026-27815
Critical

EVerest to oprogramowanie do ładowania pojazdów elektrycznych. W wersjach przed 2026.02.0, funkcja ISO15118_chargerImpl::handle_session_setup kopiuje listę opcji płatności o zmiennej długości do tablicy o stałej długości 2 bez sprawdzania granic, co może prowadzić do zapisów poza przydzieloną pamięcią.

CVE-2026-33396
Critical

OneUptime to platforma monitorowania i obserwowalności typu open-source. Przed wersją 10.0.35, użytkownik z niskimi uprawnieniami (ProjectMember) mógł zdalnie wykonać polecenia na kontenerze/gospodarzu Probe, wykorzystując wykonanie skryptu Synthetic Monitor Playwright. Wersja 10.0.35 zawiera poprawkę.

CVE-2026-4809
Critical

The plank/laravel-mediable package up to version 6.4.0 allows the upload of dangerous file types when an application accepts or prefers a client-supplied MIME type. This can lead to the upload of files containing executable PHP code, resulting in potential remote code execution.

CVE-2014-125112
Critical

Plack::Middleware::Session::Cookie versions through 0.21 for Perl has a vulnerability that allows remote code execution. An attacker can execute arbitrary code on the server during the deserialization of cookie data when no secret is used to sign the cookie.

CVE-2026-33942
Critical

Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0 używano funkcji unserialize() w metodzie AccessTokenAuthenticator::unserialize() do przywracania stanu tokena OAuth z pamięci podręcznej lub magazynu, co stwarza ryzyko wstrzyknięcia obiektów.

CVE-2026-33183
Critical

Saloon to biblioteka PHP, która umożliwia użytkownikom budowanie integracji API i SDK. W wersjach przed 4.0.0, nazwy fixture były używane do budowania ścieżek plików w skonfigurowanym katalogu fixture bez walidacji, co prowadziło do podatności na traversję ścieżek.

CVE-2025-70888
Critical

Problem w mtrojnar Osslsigncode w wersji 2.10 i wcześniejszych umożliwia zdalnemu atakującemu eskalację uprawnień poprzez komponent osslsigncode.c.

CVE-2026-32573
Critical

W podatności CVE-2026-32573 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości wstrzyknięcia kodu w oprogramowaniu Nelio AB Testing w wersjach od n/a do 8.2.7. Problem ten może umożliwić atakującym wykonanie nieautoryzowanego kodu.

CVE-2026-32539
Critical

W podatności CVE-2026-32539 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do ataku typu Blind SQL Injection w wtyczce PublishPress Revisions. Problem dotyczy wersji od n/a do 3.7.23 włącznie.

CVE-2026-32536
Critical

Podatność CVE-2026-32536 dotyczy nieograniczonego przesyłania plików o niebezpiecznych typach w aplikacji halfdata Green Downloads, co pozwala na wykorzystanie złośliwych plików. Problem ten dotyczy wersji Green Downloads od n/a do 2.08 włącznie.

CVE-2026-32525
Critical

Podatność CVE-2026-32525 dotyczy niewłaściwej kontroli generowania kodu w JetFormBuilder, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji JetFormBuilder od n/a do 3.5.6.1.

CVE-2026-32524
Critical

Podatność CVE-2026-32524 dotyczy silnika zdjęć Jordy Meow Photo Engine, umożliwiając nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Photo Engine od n/a do 6.4.9 włącznie.

CVE-2026-32523
Critical

Podatność CVE-2026-32523 dotyczy WPJAM Basic, umożliwiając nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 6.9.2.

CVE-2026-32520
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w RewardsWP pozwala na eskalację uprawnień. Problem ten dotyczy wersji RewardsWP od n/a do 1.0.4 włącznie.

CVE-2026-32519
Critical

W podatności CVE-2026-32519 w aplikacji Bit SMTP występuje nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji Bit SMTP od n/a do 1.2.2 włącznie.

CVE-2026-32512
Critical

Podatność CVE-2026-32512 dotyczy deserializacji niezaufanych danych w motywie Edge-Themes Pelicula, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Pelicula od n/a do poniżej 1.10.

CVE-2026-32502
Critical

Podatność CVE-2026-32502 dotyczy deserializacji niezaufanych danych w motywie Borgholm od Select-Themes, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Borgholm od n/a do poniżej 1.6.

CVE-2026-32499
Critical

Podatność CVE-2026-32499 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL w chatbotie QuantumCloud ChatBot, co umożliwia atak typu Blind SQL Injection. Problem ten dotyczy wersji ChatBot od n/a do 7.7.9 włącznie.

PreviousPage 129 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS