CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Wtyczka WP DSGVO Tools (GDPR) dla WordPressa jest podatna na nieautoryzowane usuwanie kont we wszystkich wersjach do i włącznie z 3.1.38. Problem wynika z akcji AJAX `super-unsubscribe`, która akceptuje parametr `process_now` od nieautoryzowanych użytkowników, omijając proces potwierdzenia e-mailem i natychmiastowo wywołując nieodwracalną anonimizację konta.
CVE-2026-4739 involves an integer overflow or wraparound vulnerability in the Expat module in ITK before version 2.7.1. This may lead to unexpected application behavior.
Wtyczka Woocommerce Custom Product Addons Pro dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.4.1 włącznie. Problem wynika z niewystarczającej sanitizacji i walidacji wartości pól przesyłanych przez użytkowników przed ich przekazaniem do funkcji eval() w PHP.
Graphiti to framework, który udostępnia modele za pomocą interfejsu zgodnego z JSON:API. W wersjach przed 1.10.2 występuje podatność na wykonanie dowolnej metody, która wpływa na funkcjonalność zapisu JSONAPI, umożliwiając atakującemu wywołanie publicznych metod na instancjach modeli.
A path traversal vulnerability in the Tekton Pipelines git resolver allows reading arbitrary files from the resolver pod's filesystem via the `pathInRepo` parameter. An attacker with permission to create `ResolutionRequests` can access ServiceAccount tokens and other sensitive data.
A path traversal vulnerability in Active Storage's `DiskService#path_for` allows arbitrary file access when blob keys contain `../` sequences. Attackers can read, write, or delete files outside the storage root directory.
OpenClaw przed wersją 2026.3.7 zawiera podatność na niewłaściwą walidację nagłówków w funkcji fetchWithSsrFGuard, która przekazuje niestandardowe nagłówki autoryzacji przez przekierowania między różnymi źródłami. Atakujący mogą wywołać przekierowania do innych źródeł, aby przechwycić wrażliwe nagłówki, takie jak X-Api-Key i Private-Token, przeznaczone dla oryginalnego celu.
Census CSWeb w wersji 8.0.1 umożliwia dostęp do katalogu 'app/config' przez HTTP w niektórych wdrożeniach. Zdalny, nieautoryzowany atakujący może wysyłać żądania do plików konfiguracyjnych i uzyskać wyciekłe sekrety.
Niewystarczająca walidacja danych wejściowych w NetScaler ADC i NetScaler Gateway, gdy są skonfigurowane jako SAML IDP, prowadzi do nadmiernego odczytu pamięci.
Mantis Bug Tracker (MantisBT) w wersjach przed 2.28.1, działających na bazach danych rodziny MySQL, ma podatność na obejście uwierzytelniania w API SOAP z powodu niewłaściwego sprawdzania typu parametru hasła. Atakujący, znając nazwę użytkownika ofiary, może zalogować się do API SOAP bez znajomości hasła i wykonać dowolną funkcję API, do której ma dostęp.
Podatność CVE-2026-2298 dotyczy niewłaściwej neutralizacji ograniczników argumentów w poleceniach, co prowadzi do możliwości manipulacji protokołem usług internetowych w Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 30 stycznia 2026 roku.
WWBN AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0, punkt końcowy kontroli transmisji na żywo `plugin/Live/standAloneFiles/control.json.php` akceptuje parametr `streamerURL`, który pozwala na przekierowanie żądań weryfikacji tokenów do serwera kontrolowanego przez atakującego, co umożliwia całkowite ominięcie uwierzytelnienia.
AVideo to otwartoźródłowa platforma wideo. W wersjach do 26.0 włącznie występuje podatność typu server-side request forgery w pliku `plugin/Live/test.php`, która pozwala nieautoryzowanym użytkownikom zdalnym na wysyłanie żądań HTTP do dowolnych adresów URL.
W wersji 2.15.0 i wcześniejszych GoHarbor Harbor występuje problem z użyciem twardo zakodowanych poświadczeń, co pozwala atakującym na wykorzystanie domyślnego hasła i uzyskanie dostępu do interfejsu webowego.
AVideo to otwartoźródłowa platforma wideo, w której wersjach do 26.0 występuje wiele podatności w wtyczce CloneSite, umożliwiających nieautoryzowanemu atakującemu zdalne wykonanie kodu. Punkt końcowy `clones.json.php` ujawnia klucze tajne klonów bez autoryzacji, co pozwala na zrzut całej bazy danych zawierającej hashe haseł administratorów w formacie MD5.
WWBN AVideo to otwarta platforma wideo. Przed wersją 26.0 występuje podatność na nieautoryzowaną injekcję SQL w pliku `objects/category.php` w metodzie `getAllCategories()`, gdzie parametr `doNotShowCats` jest niewłaściwie sanitizowany.
AVideo to otwartoźródłowa platforma wideo, która przed wersją 26.0 zawierała podatność typu Server-Side Request Forgery (SSRF) w pliku `saveDVR.json.php`. W trybie samodzielnym wtyczki AVideo Live, parametr `$_REQUEST['webSiteRootURL']` był używany bezpośrednio do konstruowania URL, co umożliwiało atakującym wykonanie nieautoryzowanych żądań.
AVideo to otwartoźródłowa platforma wideo. W wersjach przed 26.0, punkt końcowy `setPassword.json.php` w wtyczce CustomizeUser pozwalał administratorom ustawiać hasło kanału dla dowolnego użytkownika, jednak z powodu błędu logicznego, hasła zawierające znaki nienumeryczne były cicho przekształcane do zera przed zapisaniem.
SQL injection vulnerability in Sinturno allows an attacker to access databases through the 'client' parameter in the '/_adm/scripts/modalReport_data.php' endpoint. The attacker can retrieve, create, update, and delete data in the databases.
Oprogramowanie układowe Nexxt Solutions Nebula 300+ w wersjach do 12.01.01.37 nie wprowadza ograniczeń liczby prób logowania ani mechanizmów blokady kont na interfejsach uwierzytelniania. Atakujący może przeprowadzać nieograniczone próby uwierzytelnienia, co umożliwia ataki typu brute-force na dane logowania administratora.

