CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-32938
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, punkt końcowy /api/lute/html2BlockDOM na komputerze lokalnym kopiuje pliki lokalne wskazywane przez linki file:// wklejonego HTML do katalogu zasobów roboczych bez walidacji ścieżek względem listy wrażliwych ścieżek.

CVE-2026-32891
Critical

Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej zawiera podatność XSS typu stored w selektorze użytkowników Jellyseerr. Umożliwia to dowolnemu posiadaczowi konta wykonanie arbitralnego kodu JavaScript w sesji przeglądarki administratora Anchorr.

CVE-2026-32890
Critical

Anchorr to bot Discorda do zamawiania filmów i programów telewizyjnych, który w wersjach 1.4.1 i poniżej ma podatność na przechowywane Cross-site Scripting (XSS) w rozwijanym menu User Mapping w panelu webowym. Umożliwia to nieuprzywilejowanym użytkownikom Discorda wykonanie dowolnego kodu JavaScript w przeglądarce administratora Anchorr.

CVE-2026-21992
Critical

Podatność w produkcie Oracle Identity Manager oraz Oracle Web Services Manager w ramach Oracle Fusion Middleware umożliwia nieautoryzowanemu atakującemu z dostępem do sieci przez HTTP przejęcie kontroli nad tymi systemami. Dotknięte wersje to 12.2.1.4.0 oraz 14.1.2.1.0.

CVE-2026-32817
Critical

Admidio to otwarte rozwiązanie do zarządzania użytkownikami. W wersjach od 5.0.0 do 5.0.6 moduł dokumentów i plików nie weryfikuje, czy bieżący użytkownik ma uprawnienia do usuwania folderów lub plików, co pozwala na ich usunięcie przez nieautoryzowanych użytkowników.

CVE-2026-32771
Critical

Komponent monitorowania CTFer.io odpowiada za zbieranie, przetwarzanie i przechowywanie różnych sygnałów, takich jak logi, metryki i rozproszone ślady. W wersjach przed 0.2.2 funkcja sanitizeArchivePath jest podatna na atak typu Path Traversal, co pozwala na dowolne zapisywanie plików, w tym nadpisywanie konfiguracji powłoki, kluczy SSH, kubeconfig czy crontabów.

CVE-2026-32769
Critical

Fullchain to projekt do wdrażania gotowej platformy CTF. W wersjach przed 0.1.1, z powodu błędnie napisanej polityki sieciowej, złośliwy aktor może przejść z podbitej aplikacji do dowolnego Pod w innym namespace, co prowadzi do potencjalnego ruchu lateralnego.

CVE-2026-32767
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i niższych występuje luka w autoryzacji w punkcie końcowym /api/search/fullTextSearchBlock, która pozwala na wykonanie dowolnych zapytań SQL przez uwierzytelnionych użytkowników, w tym tych z rolą Czytelnika.

CVE-2026-32985
Critical

Wersje Xerte Online Toolkits 3.14 i wcześniejsze zawierają podatność na nieautoryzowane przesyłanie plików w funkcjonalności importu szablonów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego archiwum ZIP z złośliwymi ładunkami PHP. Atakujący mogą obejść kontrole autoryzacji w pliku import.php, aby przesłać archiwum szablonu z kodem PHP w katalogu mediów.

CVE-2026-32760
Critical

File Browser to interfejs zarządzania plikami, który w wersjach 2.61.2 i poniżej pozwala na rejestrację pełnego konta administratora przez nieautoryzowanych użytkowników, gdy opcja samodzielnej rejestracji jest włączona. Handler rejestracji nie ma zabezpieczeń, które uniemożliwiają nadawanie uprawnień administratora nowym użytkownikom.

CVE-2026-29103
Critical

W SuiteCRM 7.15.0 i 8.9.2 występuje krytyczna podatność na zdalne wykonanie kodu (RCE), która pozwala uwierzytelnionym administratorom na wykonywanie dowolnych poleceń systemowych. Jest to bezpośrednie obejście poprawki CVE-2024-49774, a problem dotyczy błędnego przetwarzania tokenów PHP w pliku ModuleScanner.php.

CVE-2026-22732
Critical

W aplikacjach korzystających z Spring Security istnieje problem z zapisywaniem nagłówków HTTP w odpowiedziach serwletów. Dotyczy to aplikacji, które używają leniwego zapisywania nagłówków HTTP w wersjach od 5.7.0 do 5.7.21, od 5.8.0 do 5.8.23, od 6.3.0 do 6.3.14, od 6.4.0 do 6.4.14, od 6.5.0 do 6.5.8 oraz od 7.0.0 do 7.0.3.

CVE-2026-32754
Critical

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. Wersje 1.8.208 i wcześniejsze są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez szablony powiadomień e-mail, co pozwala na wstrzyknięcie złośliwego kodu przez nieautoryzowanych użytkowników.

CVE-2026-32751
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach 3.6.0 i wcześniejszych, mobilne drzewo plików (MobileFiles.ts) renderuje nazwy notatników za pomocą innerHTML bez ucieczki HTML podczas przetwarzania zdarzeń WebSocket renamenotebook. Użytkownik z odpowiednimi uprawnieniami może wstrzyknąć dowolny kod HTML/JavaScript, który zostanie wykonany na każdym mobilnym kliencie przeglądającym drzewo plików.

CVE-2026-32194
Critical

W Microsoft Bing Images występuje niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach, co prowadzi do podatności na wstrzyknięcie poleceń ('command injection'). Umożliwia to nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-32038
Critical

OpenClaw przed wersją 2026.2.24 zawiera podatność na obejście izolacji sieciowej w piaskownicy, która pozwala zaufanym operatorom dołączyć do przestrzeni nazw sieci innego kontenera. Atakujący mogą skonfigurować parametr docker.network z wartościami container:<id>, aby uzyskać dostęp do usług w przestrzeniach nazw docelowych kontenerów.

CVE-2026-30872
Critical

Projekt OpenWrt to system operacyjny Linux skierowany na urządzenia wbudowane. W wersjach przed 24.10.6 i 25.12.1 występuje podatność na przepełnienie bufora na stosie w funkcji match_ipv6_addresses, wywoływana podczas przetwarzania zapytań PTR dla domen DNS IPv6 (.ip6.arpa) otrzymywanych przez multicast DNS na porcie UDP 5353.

CVE-2026-30871
Critical

Projekt OpenWrt to system operacyjny Linux skierowany na urządzenia wbudowane. W wersjach przed 24.10.6 i 25.12.1 występuje podatność na przepełnienie bufora na stosie w funkcji parse_question demona mdns, wywoływana przez zapytania PTR dla odwrotnych domen DNS.

CVE-2026-4395
Critical

W kodzie KCAPI ECC w funkcji wc_ecc_import_x963_ex() w bibliotece wolfSSL wolfcrypt występuje przepełnienie bufora oparte na stercie. Zdalny atakujący może wprowadzić dane kontrolowane przez siebie poza granice bufora pubkey_raw poprzez odpowiednio skonstruowany, zbyt duży punkt publiczny klucza EC.

CVE-2026-3849
Critical

W bibliotece wolfSSL w wersji 5.8.4 występuje podatność typu przepełnienie bufora stosu w funkcji wc_HpkeLabeledExtract, spowodowana przez zbyt dużą konfigurację ECH (Encrypted Client Hello). Złośliwie skonstruowana konfiguracja ECH może prowadzić do przepełnienia bufora, co skutkuje potencjalnym zdalnym wykonaniem kodu oraz awarią programu klienckiego.

PreviousPage 138 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS