CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-22507
Critical

Podatność CVE-2026-22507 dotyczy deserializacji niezaufanych danych w motywie Beelove od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Beelove od n/a do 1.2.6.

CVE-2026-22500
Critical

Podatność na deserializację niezaufanych danych w m2 | Construction and Tools Store m2-ce umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji m2 | Construction and Tools Store od n/a do 1.1.2 włącznie.

CVE-2026-22484
Critical

W podatności CVE-2026-22484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Lisfinity Core. Problem ten dotyczy wersji Lisfinity Core od n/a do 1.5.0 włącznie.

CVE-2026-26833
Critical

thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.

CVE-2026-26832
Critical

node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.

CVE-2026-26831
Critical

Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.

CVE-2026-26830
Critical

Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().

CVE-2025-59707
Critical

W N2W przed wersją 4.3.2 oraz 4.4.x przed wersją 4.4.1 występuje podatność na zdalne wykonanie kodu oraz kradzież danych logowania z powodu luki w zabezpieczeniach związanej z fałszowaniem.

CVE-2025-59706
Critical

W N2W przed wersją 4.3.2 oraz w wersjach 4.4.0 przed 4.4.1 występuje niewłaściwa walidacja parametrów żądań API, co umożliwia zdalne wykonanie kodu.

CVE-2025-32991
Critical

W N2WS Backup & Recovery przed wersją 4.4.0, atak dwustopniowy na interfejs API RESTful prowadzi do zdalnego wykonania kodu.

CVE-2026-28858
Critical

Wykryto przepełnienie bufora, które zostało naprawione dzięki poprawionemu sprawdzaniu granic. Problem ten został rozwiązany w iOS 26.4 oraz iPadOS 26.4.

CVE-2026-28827
Critical

W systemie macOS wystąpił problem z analizą ścieżek katalogów, który został rozwiązany poprzez poprawę walidacji ścieżek. Problem ten został naprawiony w wersjach macOS Sequoia 15.7.5, macOS Sonoma 14.8.5 oraz macOS Tahoe 26.4.

CVE-2026-20688
Critical

Problem z obsługą ścieżek został rozwiązany dzięki poprawionej walidacji. Problem ten został naprawiony w iOS 26.4, iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 oraz visionOS 26.4.

CVE-2025-33244
Critical

NVIDIA APEX dla systemu Linux zawiera podatność, która pozwala nieautoryzowanemu atakującemu na deserializację nieufnych danych. Podatność ta dotyczy środowisk korzystających z wersji PyTorch wcześniejszych niż 2.6.

CVE-2026-33511
Critical

W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.

CVE-2026-33322
Critical

MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.

CVE-2026-33409
Critical

Parse Server, otwarte oprogramowanie backendowe, ma lukę umożliwiającą obejście uwierzytelniania przed wersjami 8.6.52 i 9.6.0-alpha.41. Atakujący może zalogować się jako dowolny użytkownik, który powiązał swoje konto z zewnętrznym dostawcą uwierzytelniania, znając jedynie identyfikator dostawcy.

CVE-2026-33407
Critical

Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.

CVE-2026-33340
Critical

A critical Server-Side Request Forgery (SSRF) vulnerability has been identified in the LoLLMs web user interface. It allows unauthenticated attackers to force the server into making arbitrary GET requests, potentially leading to access to internal services and leakage of sensitive data.

CVE-2026-33334
Critical

Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.

PreviousPage 132 of 561Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS