CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-23489
Critical

Wtyczka Fields dla GLPI umożliwia użytkownikom dodawanie niestandardowych pól do formularzy elementów GLPI. Przed wersją 1.23.3 istniała możliwość wykonania dowolnego kodu PHP przez użytkowników, którzy mieli prawo do tworzenia rozwijanych list.

CVE-2026-4252
Critical

Zidentyfikowano podatność w urządzeniu Tenda AC8 w wersji 16.03.50.11, dotycząca funkcji check_is_ipv6 w komponencie IPv6 Handler. Manipulacja prowadzi do polegania na adresie IP w procesie uwierzytelniania.

CVE-2025-62319
Critical

CVE-2025-62319 dotyczy podatności na atak typu Boolean-Based SQL Injection, gdzie atakujący może manipulować zapytaniami SQL poprzez wstrzykiwanie warunków logicznych (PRAWDA lub FAŁSZ) do pól wejściowych aplikacji. Aplikacja reaguje różnie w zależności od tego, czy wstrzyknięty warunek jest prawdziwy, co umożliwia atakującemu wstrzykiwanie dowolnego SQL do zapytań konfiguracyjnych w backendzie.

CVE-2026-4184
Critical

Wykryto podatność w D-Link DIR-816 w wersji 1.10CNB05, która dotyczy nieznanej funkcjonalności pliku /goform/form2Wl5BasicSetup.cgi komponentu goahead. Manipulacja argumentem pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4183
Critical

W urządzeniu D-Link DIR-816 w wersji 1.10CNB05 wykryto podatność bezpieczeństwa. Manipulacja argumentem pskValue w pliku /goform/form2WlanBasicSetup.cgi prowadzi do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.

CVE-2026-4182
Critical

Zidentyfikowano słabość w D-Link DIR-816 1.10CNB05, która dotyczy nieznanej funkcji pliku /goform/form2Wl5RepeaterStep2.cgi komponentu goahead. Manipulacja argumentami key1/key2/key3/key4/pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4181
Critical

W urządzeniach D-Link DIR-816 w wersji 1.10CNB05 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /goform/form2RepeaterStep2.cgi komponentu goahead. Manipulacja argumentami key1/key2/key3/key4/pskValue prowadzi do przepełnienia bufora na stosie.

CVE-2026-4170
Critical

W systemie Topsec TopACM 3.0 zidentyfikowano słabość w nieznanej funkcjonalności pliku /view/systemConfig/management/nmc_sync.php, która dotyczy komponentu HTTP Request Handler. Manipulacja argumentem template_path może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-4164
Critical

W urządzeniu Wavlink WL-WN578W2 221110 zidentyfikowano lukę w funkcji Delete_Mac_list/SetName/GuestWifi w pliku /cgi-bin/wireless.cgi. Wykonanie manipulacji może prowadzić do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-4163
Critical

Wykryto podatność w urządzeniu Wavlink WL-WN579A3 220323, która dotyczy funkcji SetName/GuestWifi w pliku /cgi-bin/wireless.cgi. Manipulacja tą funkcją prowadzi do wstrzyknięcia poleceń, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-32640
Critical

The SimpleEval library before version 1.0.5 allows dangerous modules and functions to leak into the expression sandbox. Attackers can access prohibited objects through attributes of passed names or by passing them as callbacks to safe functions.

CVE-2026-32635
Critical

W platformie Angular zidentyfikowano podatność typu Cross-Site Scripting (XSS) w wersjach przed 22.0.0-next.3, 21.2.4, 20.3.18 i 19.2.20. Problem występuje, gdy aplikacja używa atrybutu wrażliwego na bezpieczeństwo w połączeniu z możliwością internacjonalizacji atrybutów, co może prowadzić do wstrzyknięcia złośliwego skryptu.

CVE-2026-32626
Critical

AnythingLLM to aplikacja, która przekształca treści w kontekst używany przez LLM podczas czatowania. W wersji 1.11.1 i wcześniejszych, aplikacja zawiera podatność XSS w fazie renderowania czatu, która może prowadzić do zdalnego wykonania kodu na hoście z powodu niebezpiecznej konfiguracji Electron.

CVE-2026-32621
Critical

W Apollo Federation, przed wersjami 2.9.6, 2.10.5, 2.11.6, 2.12.3 i 2.13.2, występuje podatność w wykonaniu planu zapytań w bramce, która może umożliwić zanieczyszczenie Object.prototype w określonych scenariuszach. Złośliwy klient może zanieczyścić Object.prototype w bramce, tworząc operacje z aliasami pól i/lub nazwami zmiennych, które celują w właściwości dziedziczone przez prototyp.

CVE-2026-20998
Critical

W Smart Switch przed wersją 3.7.69.15 występuje niewłaściwa autoryzacja, która pozwala zdalnym atakującym na ominięcie procesu uwierzytelniania.

CVE-2026-20997
Critical

Nieprawidłowa weryfikacja podpisu kryptograficznego w Smart Switch przed wersją 3.7.69.15 umożliwia zdalnym atakującym potencjalne ominięcie uwierzytelnienia.

CVE-2025-69246
Critical

Raytha CMS nie posiada mechanizmu ochrony przed atakami typu brute force, co umożliwia atakującemu wysyłanie wielu zautomatyzowanych próśb logowania bez wywoływania blokady, ograniczeń prędkości czy dodatkowych wyzwań.

CVE-2025-15060
Critical

Podatność CVE-2025-15060 dotyczy narzędzia claude-hovercraft i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2017-20224
Critical

Router Telesquare SKT LTE SDT-CS3B1 w wersji 1.2.0 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala atakującym na przesyłanie złośliwej zawartości poprzez wykorzystanie włączonych metod HTTP WebDAV. Atakujący mogą używać metod PUT, DELETE, MKCOL, MOVE, COPY i PROPPATCH do przesyłania kodu wykonywalnego, usuwania plików lub manipulowania zawartością serwera.

CVE-2017-20223
Critical

Oprogramowanie układowe routera Telesquare SKT LTE SDT-CS3B1 w wersji 1.2.0 zawiera podatność na niebezpieczne bezpośrednie odniesienie do obiektów, co pozwala atakującym na obejście autoryzacji i dostęp do zasobów poprzez manipulację parametrami wejściowymi dostarczanymi przez użytkownika. Atakujący mogą bezpośrednio odnosić się do obiektów w systemie, aby uzyskać wrażliwe informacje i dostęp do funkcji bez odpowiednich kontroli dostępu.

PreviousPage 142 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS