CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Locutus library before version 3.0.14 has a vulnerability in the create_function(args, code) function that passes both parameters directly to the Function constructor without sanitization, allowing arbitrary JavaScript code execution.
Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.
Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.
In FreeRDP prior to 3.24.0, the gdi_surface_bits() function fails to properly validate bmp.width and bmp.height values from the RDP server. A malicious server can supply crafted values exceeding the surface size, causing a heap buffer overflow during bitmap decoding. The attacker controls pixel data, potentially overwriting adjacent heap memory.
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.34 istniała możliwość uzyskania tablic zawierających funkcje, co pozwalało na ucieczkę z sandboxa.
Urządzenia HMS Networks Ewon Flexy z firmware przed 15.0s4, Cosy+ z firmware 22.xx przed 22.1s6 oraz Cosy+ z firmware 23.xx przed 23.0s3 mają podatność na przepełnienie bufora stosu, co prowadzi do odmowy usługi. Ta podatność może być również wykorzystana do zdalnego wykonania kodu bez uwierzytelnienia.
Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.
The 'HTTP Request Smuggling' vulnerability in the Erlang OTP httpd module allows for inconsistent interpretation of HTTP headers. The server does not reject or normalize duplicate Content-Length headers, leading to desynchronization between the front-end and back-end.
Voltronic Power SNMP Web Pro w wersji 1.1 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do uprzywilejowanych funkcji zarządzania poprzez manipulację wartościami localStorage w przeglądarce. Atakujący mogą modyfikować stan uwierzytelnienia po stronie klienta, aby obejść kontrole dostępu po stronie serwera.
Interfejs webowy na wielu przełącznikach Omada nieprawidłowo waliduje niektóre zewnętrzne dane wejściowe, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem podczas przetwarzania spreparowanych żądań. W określonych warunkach ta wada może skutkować niezamierzonym wykonaniem poleceń.
Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.6.0-alpha.12 i 8.6.38, nieautoryzowany atakujący może przejąć dowolne konto użytkownika utworzone z użyciem dostawcy uwierzytelniania, który nie weryfikuje formatu identyfikatora użytkownika, co pozwala na uzyskanie ważnego tokena sesji.
ZeptoClaw to osobisty asystent AI, który przed wersją 0.7.6 miał podatność na obejście komponentu związanego z wiszącymi dowiązaniami, problem TOCTOU między walidacją a użyciem oraz obejście aliasu dowiązania twardego. Podatność ta została naprawiona w wersji 0.7.6.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez funkcję set_config. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.
W podatności CVE-2025-70245 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWizardSelectMode.
W podatności typu 'Użycie zakodowanych na sztywno, istotnych dla bezpieczeństwa stałych' w systemach Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.
W podatności typu Użycie twardo zakodowanych poświadczeń w Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.
Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w urządzeniach Trane Tracer SC, Tracer SC+ i Tracer Concierge może umożliwić atakującemu ominięcie uwierzytelnienia i uzyskanie dostępu na poziomie root.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez parametr modułu w funkcji M.get_system_log. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.
W wersji GL-iNet GL-AR300M16 v4.3.11 zidentyfikowano wiele podatności na wstrzykiwanie poleceń w funkcji set_upgrade, wykorzystujących parametry modem_url, target_version, current_version, firmware_upload, hash_type, hash_value oraz upgrade_type. Te podatności umożliwiają atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

