CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-4283
Critical

Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na nieautoryzowane usuwanie kont we wszystkich wersjach do i włącznie z 3.1.38. Problem wynika z akcji AJAX `super-unsubscribe`, która akceptuje parametr `process_now` od nieautoryzowanych użytkowników, omijając proces potwierdzenia e-mailem i natychmiastowo wywołując nieodwracalną anonimizację konta.

CVE-2026-4739
Critical

CVE-2026-4739 involves an integer overflow or wraparound vulnerability in the Expat module in ITK before version 2.7.1. This may lead to unexpected application behavior.

CVE-2026-4001
Critical

Wtyczka Woocommerce Custom Product Addons Pro dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji i walidacji wartości pól przesyłanych przez użytkowników przed ich przekazaniem do funkcji eval() w PHP.

CVE-2026-33286
Critical

Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.

CVE-2026-33211
Critical

A path traversal vulnerability in the Tekton Pipelines git resolver allows reading arbitrary files from the resolver pod's filesystem via the `pathInRepo` parameter. An attacker with permission to create `ResolutionRequests` can access ServiceAccount tokens and other sensitive data.

CVE-2026-33195
Critical

A path traversal vulnerability in Active Storage's `DiskService#path_for` allows arbitrary file access when blob keys contain `../` sequences. Attackers can read, write, or delete files outside the storage root directory.

CVE-2026-32913
Critical

OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.

CVE-2025-60949
Critical

Census CSWeb w wersji 8.0.1 umożliwia dostęp do katalogu 'app/config' przez HTTP w niektórych wdrożeniach. Zdalny, nieautoryzowany atakujący może wysyłać żądania do plików konfiguracyjnych i uzyskać wyciekłe sekrety.

CVE-2026-3055
Critical

Niewystarczająca walidacja danych wejściowych w NetScaler ADC i NetScaler Gateway, gdy są skonfigurowane jako SAML IDP, prowadzi do nadmiernego odczytu pamięci.

CVE-2026-30849
Critical

Mantis Bug Tracker (MantisBT) w wersjach przed 2.28.1, działających na bazach danych rodziny MySQL, ma podatność na obejście uwierzytelniania w API SOAP z powodu niewłaściwego sprawdzania typu parametru hasła. Atakujący, znając nazwę użytkownika ofiary, może zalogować się do API SOAP bez znajomości hasła i wykonać dowolną funkcję API, do której ma dostęp.

CVE-2026-2298
Critical

Podatność CVE-2026-2298 dotyczy niewłaściwej neutralizacji ograniczników argumentów w poleceniach, co prowadzi do możliwości manipulacji protokołem usług internetowych w Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 30 stycznia 2026 roku.

CVE-2026-33716
Critical

WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0, punkt końcowy kontroli transmisji na żywo `plugin/Live/standAloneFiles/control.json.php` akceptuje parametr `streamerURL`, który pozwala na przekierowanie żądań weryfikacji tokenów do serwera kontrolowanego przez atakującego, co umożliwia całkowite ominięcie uwierzytelnienia.

CVE-2026-33502
Critical

AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.

CVE-2026-4404
Critical

W wersji 2.15.0 i wcześniejszych GoHarbor Harbor występuje problem z użyciem twardo zakodowanych poświadczeń, co pozwala atakującym na wykorzystanie domyślnego hasła i uzyskanie dostępu do interfejsu webowego.

CVE-2026-33478
Critical

AVideo to otwartoźródłowa platforma wideo, w której wersjach do 26.0 występuje wiele podatności w wtyczce CloneSite, umożliwiających nieautoryzowanemu atakującemu zdalne wykonanie kodu. Punkt końcowy `clones.json.php` ujawnia klucze tajne klonów bez autoryzacji, co pozwala na zrzut całej bazy danych zawierającej hashe haseł administratorów w formacie MD5.

CVE-2026-33352
Critical

WWBN AVideo to otwarta platforma wideo. Przed wersją 26.0 występuje podatność na nieautoryzowaną injekcję SQL w pliku `objects/category.php` w metodzie `getAllCategories()`, gdzie parametr `doNotShowCats` jest niewłaściwie sanitizowany.

CVE-2026-33351
Critical

AVideo to otwartoźródłowa platforma wideo, która przed wersją 26.0 zawierała podatność typu Server-Side Request Forgery (SSRF) w pliku `saveDVR.json.php`. W trybie samodzielnym wtyczki AVideo Live, parametr `$_REQUEST['webSiteRootURL']` był używany bezpośrednio do konstruowania URL, co umożliwiało atakującym wykonanie nieautoryzowanych żądań.

CVE-2026-33297
Critical

AVideo to otwartoźródłowa platforma wideo. W wersjach przed 26.0, punkt końcowy `setPassword.json.php` w wtyczce CustomizeUser pozwalał administratorom ustawiać hasło kanału dla dowolnego użytkownika, jednak z powodu błędu logicznego, hasła zawierające znaki nienumeryczne były cicho przekształcane do zera przed zapisaniem.

CVE-2025-41008
Critical

SQL injection vulnerability in Sinturno allows an attacker to access databases through the 'client' parameter in the '/_adm/scripts/modalReport_data.php' endpoint. The attacker can retrieve, create, update, and delete data in the databases.

CVE-2026-31851
Critical

Oprogramowanie układowe Nexxt Solutions Nebula 300+ w wersjach do 12.01.01.37 nie wprowadza ograniczeń liczby prób logowania ani mechanizmów blokady kont na interfejsach uwierzytelniania. Atakujący może przeprowadzać nieograniczone próby uwierzytelnienia, co umożliwia ataki typu brute-force na dane logowania administratora.

PreviousPage 135 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS