CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność CVE-2026-22507 dotyczy deserializacji niezaufanych danych w motywie Beelove od AncoraThemes, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Beelove od n/a do 1.2.6.
Podatność na deserializację niezaufanych danych w m2 | Construction and Tools Store m2-ce umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji m2 | Construction and Tools Store od n/a do 1.1.2 włącznie.
W podatności CVE-2026-22484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Lisfinity Core. Problem ten dotyczy wersji Lisfinity Core od n/a do 1.5.0 włącznie.
thumbler w wersji 1.1.2 umożliwia wstrzyknięcie poleceń systemowych poprzez parametry input, output, time lub size w funkcji thumbnail(). Wprowadzone przez użytkownika dane są łączone w ciąg polecenia powłoki przekazywanego do child_process.exec() bez odpowiedniej sanitizacji lub ucieczki.
node-tesseract-ocr to pakiet npm, który zapewnia interfejs dla Tesseract OCR w Node.js. W wersjach do 2.2.1 funkcja recognize() w pliku src/index.js jest podatna na wstrzyknięcie poleceń systemowych z powodu nieprawidłowej sanitizacji parametru ścieżki pliku.
Textract w wersjach do 2.5.0 jest podatny na wstrzyknięcie poleceń systemowych poprzez parametr ścieżki pliku w wielu ekstraktorach. Przy przetwarzaniu plików z złośliwymi nazwami plików, filePath jest przekazywane bezpośrednio do child_process.exec() w lib/extractors/doc.js, rtf.js, dxf.js, images.js i lib/util.js bez odpowiedniej sanitizacji.
Pakiet npm pdf-image w wersjach do 2.0.0 umożliwia wstrzyknięcie poleceń systemowych poprzez parametr pdfFilePath. Funkcje constructGetInfoCommand oraz constructConvertCommandForPage wykorzystują util.format() do interpolacji ścieżek plików kontrolowanych przez użytkownika w ciągi poleceń powłoki, które są wykonywane za pomocą child_process.exec().
W N2W przed wersją 4.3.2 oraz 4.4.x przed wersją 4.4.1 występuje podatność na zdalne wykonanie kodu oraz kradzież danych logowania z powodu luki w zabezpieczeniach związanej z fałszowaniem.
W N2W przed wersją 4.3.2 oraz w wersjach 4.4.0 przed 4.4.1 występuje niewłaściwa walidacja parametrów żądań API, co umożliwia zdalne wykonanie kodu.
W N2WS Backup & Recovery przed wersją 4.4.0, atak dwustopniowy na interfejs API RESTful prowadzi do zdalnego wykonania kodu.
Wykryto przepełnienie bufora, które zostało naprawione dzięki poprawionemu sprawdzaniu granic. Problem ten został rozwiązany w iOS 26.4 oraz iPadOS 26.4.
W systemie macOS wystąpił problem z analizą ścieżek katalogów, który został rozwiązany poprzez poprawę walidacji ścieżek. Problem ten został naprawiony w wersjach macOS Sequoia 15.7.5, macOS Sonoma 14.8.5 oraz macOS Tahoe 26.4.
Problem z obsługą ścieżek został rozwiązany dzięki poprawionej walidacji. Problem ten został naprawiony w iOS 26.4, iPadOS 26.4, macOS Sequoia 15.7.5, macOS Sonoma 14.8.5, macOS Tahoe 26.4 oraz visionOS 26.4.
NVIDIA APEX dla systemu Linux zawiera podatność, która pozwala nieautoryzowanemu atakującemu na deserializację nieufnych danych. Podatność ta dotyczy środowisk korzystających z wersji PyTorch wcześniejszych niż 2.6.
W pyLoad, menedżerze pobierania, występuje luka w funkcji ClickNLoad, która pozwala na obejście dekoratora local_check. Atakujący zdalny może wykorzystać fałszowanie nagłówka HTTP Host, co umożliwia dostęp do punktów końcowych ograniczonych do localhost.
MinIO to system przechowywania obiektów o wysokiej wydajności. W wersjach od RELEASE.2022-11-08T05-27-07Z do przed RELEASE.2026-03-17T21-25-16Z występuje podatność związana z myleniem algorytmu JWT w uwierzytelnianiu OpenID Connect, która pozwala atakującemu, znającemu OIDC ClientSecret, na fałszowanie dowolnych tokenów tożsamości i uzyskanie poświadczeń S3 z dowolną polityką, w tym consoleAdmin.
Parse Server, otwarte oprogramowanie backendowe, ma lukę umożliwiającą obejście uwierzytelniania przed wersjami 8.6.52 i 9.6.0-alpha.41. Atakujący może zalogować się jako dowolny użytkownik, który powiązał swoje konto z zewnętrznym dostawcą uwierzytelniania, znając jedynie identyfikator dostawcy.
Wallos to otwartoźródłowy, samodzielny tracker subskrypcji osobistych. W wersjach przed 4.7.0, endpointy/logos/search.php akceptują zmienne środowiskowe HTTP_PROXY i HTTPS_PROXY bez walidacji, co umożliwia atak SSRF poprzez przejęcie proxy.
A critical Server-Side Request Forgery (SSRF) vulnerability has been identified in the LoLLMs web user interface. It allows unauthenticated attackers to force the server into making arbitrary GET requests, potentially leading to access to internal services and leakage of sensitive data.
Vikunja to platforma do zarządzania zadaniami, która w wersjach od 0.21.0 do 2.2.0 umożliwia `nodeIntegration` w procesie renderowania bez `contextIsolation` lub `sandbox`. To stwarza ryzyko, że każda podatność XSS w interfejsie webowym Vikunji może prowadzić do zdalnego wykonania kodu na maszynie ofiary.

