CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-22898
Critical

Zgłoszono podatność w QVR Pro, polegającą na braku uwierzytelnienia dla krytycznej funkcji. Zdalni atakujący mogą wykorzystać tę podatność, aby uzyskać dostęp do systemu.

CVE-2026-22897
Critical

Zgłoszono podatność na wstrzykiwanie poleceń w QuNetSwitch, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń. Problem został naprawiony w wersji QuNetSwitch 2.0.4.0415 i nowszych.

CVE-2025-59383
Critical

Zgłoszono podatność typu przepełnienie bufora, która dotyczy dodatku do strumieniowania mediów. Zdalni atakujący mogą wykorzystać tę podatność do modyfikacji pamięci lub awarii procesów.

CVE-2025-15608
Critical

Podatność w AX53 v1 wynika z niewystarczającej sanitizacji danych wejściowych w logice obsługi sond, co może prowadzić do przepełnienia bufora na stosie. W wyniku tego, usługa może ulegać awarii, a w określonych warunkach może umożliwić zdalne wykonanie kodu.

CVE-2025-15607
Critical

Wersja v1 urządzenia AX53 zawiera podatność na wstrzykiwanie poleceń w funkcjonalności debugowania mscd, spowodowaną niewystarczającym przetwarzaniem danych wejściowych. Umożliwia to atakującym z odpowiednimi uprawnieniami przekierowanie logów do dowolnych plików oraz łączenie niezweryfikowanej zawartości plików z poleceniami powłoki.

CVE-2026-22172
Critical

Wersje OpenClaw przed 2026.3.12 zawierają podatność na obejście autoryzacji w ścieżce połączenia WebSocket, która pozwala na samodzielne deklarowanie podwyższonych zakresów przez połączenia z użyciem tokenów współdzielonych lub uwierzytelnionych hasłem, bez powiązania po stronie serwera. Atakujący mogą wykorzystać tę lukę do przedstawienia nieautoryzowanych zakresów, takich jak operator.admin, i wykonywania operacji dostępnych tylko dla administratorów bramy.

CVE-2024-44722
Critical

SysAK w wersji 2.0 i wcześniejszych jest podatny na wykonanie polecenia poprzez aaa;cat /etc/passwd. Atakujący może uzyskać dostęp do wrażliwych informacji z pliku passwd.

CVE-2026-33136
Critical

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.6 i poniżej występuje podatność typu Reflected Cross-Site Scripting (XSS) w punkcie końcowym listar_memorandos_ativos.php, która pozwala atakującemu na wstrzyknięcie dowolnego kodu JavaScript lub znaczników HTML poprzez parametr GET sccd.

CVE-2026-33135
Critical

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.6 i poniżej występuje podatność na odzwierciedlone XSS w punkcie końcowym novo_memorandoo.php, umożliwiająca atakującemu wstrzyknięcie dowolnego JavaScriptu poprzez parametr GET sccs.

CVE-2026-33134
Critical

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach 3.6.5 i poniżej występuje podatność na uwierzytelnioną iniekcję SQL w punkcie końcowym html/matPat/restaurar_produto.php, która pozwala uwierzytelnionemu atakującemu na wstrzyknięcie dowolnych poleceń SQL przez parametr GET id_produto.

CVE-2026-33067
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych pola metadanych pakietu (displayName, description) są renderowane przy użyciu literałów szablonowych bez uciekania się do HTML. Złośliwy autor pakietu może wstrzyknąć dowolny HTML/JavaScript, który wykonuje się automatycznie, gdy użytkownik przegląda stronę Bazaar.

CVE-2026-33066
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych funkcja backendowa renderREADME używa lute.New() bez wywołania SetSanitize(true), co pozwala na przejście surowego HTML osadzonego w Markdown bez modyfikacji. W rezultacie złośliwy autor pakietu może osadzić dowolny JavaScript w swoim README, który wykonuje się po kliknięciu przez użytkownika.

CVE-2026-33057
Critical

Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej, istnieje punkt końcowy w module ai/testing, który bezwarunkowo przyjmuje nieufne ciągi kodu Python bez żadnych środków uwierzytelniających, co prowadzi do nieograniczonego zdalnego wykonania kodu.

CVE-2026-33054
Critical

Mesop to framework UI oparty na Pythonie, który pozwala użytkownikom na budowanie aplikacji webowych. W wersjach 1.2.2 i poniżej występuje podatność typu Path Traversal, która umożliwia atakującym dostęp do dowolnych plików na dysku, co może prowadzić do awarii aplikacji lub manipulacji plikami.

CVE-2026-32768
Critical

Chall-Manager to system niezależny od platformy, który umożliwia uruchamianie wyzwań na żądanie gracza. W wersjach przed 0.6.5, z powodu błędnie napisanej polityki sieciowej, złośliwy aktor może przejść z instancji do dowolnego Pod w oryginalnej przestrzeni nazw, co narusza oczekiwaną zasadę bezpieczeństwa domyślnego.

CVE-2026-33024
Critical

AVideo to platforma do udostępniania wideo. W wersjach przed 8.0 występuje podatność typu Server-Side Request Forgery (CWE-918) w publicznych punktach końcowych thumbnail, getImage.php i getImageMP4.php, które akceptują parametr GET base64Url i przekazują go do ffmpeg bez wymogu uwierzytelnienia.

CVE-2026-33017
Critical

Langflow is a tool for building and deploying AI-powered agents and workflows. In versions prior to 1.9.0, the POST /api/v1/build_public_tmp/{flow_id}/flow endpoint allowed building public flows without requiring authentication, leading to the possibility of remote code execution by unauthorized users.

CVE-2026-4038
Critical

Wtyczka Aimogen Pro dla WordPressa jest podatna na wywołanie dowolnej funkcji, co może prowadzić do eskalacji uprawnień z powodu braku sprawdzenia uprawnień w funkcji 'aiomatic_call_ai_function_realtime' we wszystkich wersjach do 2.7.5 włącznie. Umożliwia to nieautoryzowanym atakującym wywoływanie dowolnych funkcji WordPressa, takich jak 'update_option'.

CVE-2026-32945
Critical

PJSIP to darmowa i otwarta biblioteka komunikacji multimedialnej napisana w C. Wersje 2.16 i poniżej mają podatność na przepełnienie bufora w sterowniku długości nazwy analizatora DNS, co wpływa na aplikacje korzystające z wbudowanego resolvera DNS PJSIP.

CVE-2026-32940
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i starszych, SanitizeSVG ma niekompletną listę blokowania, co pozwala na wykonanie JavaScriptu poprzez SVG z wykorzystaniem nieodpowiednio zablokowanych typów MIME.

PreviousPage 137 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS