CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter.
ZKTeco ZKBioSecurity 3.0 contains hardcoded credentials in the bundled Apache Tomcat server that allow unauthenticated attackers to access the manager application. Attackers can authenticate with hardcoded credentials stored in tomcat-users.xml to upload malicious WAR archives containing JSP applications and execute arbitrary code with SYSTEM privileges.
ZKTeco ZKTime.Net version 3.0.1.6 contains an insecure file permissions vulnerability that allows unprivileged users to escalate privileges by modifying executable files. Attackers can exploit world-writable permissions on the ZKTimeNet3.0 directory and its contents to replace executable files with malicious binaries.
Wtyczka Pix for WooCommerce dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji 'lkn_pix_for_woocommerce_c6_save_settings' we wszystkich wersjach do 1.5.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W podatności CVE-2026-32367 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w bibliotece Modal Dialog w wersjach od n/a do 3.5.16. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego kodu.
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.23, API agregacji telemetrycznej akceptowało parametry kontrolowane przez użytkownika, co umożliwiało wstrzykiwanie dowolnego SQL do zapytań ClickHouse, co prowadziło do poważnych zagrożeń dla bezpieczeństwa.
Locutus library before version 3.0.14 has a vulnerability in the create_function(args, code) function that passes both parameters directly to the Function constructor without sanitization, allowing arbitrary JavaScript code execution.
Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.
Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.
In FreeRDP prior to 3.24.0, the gdi_surface_bits() function fails to properly validate bmp.width and bmp.height values from the RDP server. A malicious server can supply crafted values exceeding the surface size, causing a heap buffer overflow during bitmap decoding. The attacker controls pixel data, potentially overwriting adjacent heap memory.
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.34 istniała możliwość uzyskania tablic zawierających funkcje, co pozwalało na ucieczkę z sandboxa.
Urządzenia HMS Networks Ewon Flexy z firmware przed 15.0s4, Cosy+ z firmware 22.xx przed 22.1s6 oraz Cosy+ z firmware 23.xx przed 23.0s3 mają podatność na przepełnienie bufora stosu, co prowadzi do odmowy usługi. Ta podatność może być również wykorzystana do zdalnego wykonania kodu bez uwierzytelnienia.
Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.
The 'HTTP Request Smuggling' vulnerability in the Erlang OTP httpd module allows for inconsistent interpretation of HTTP headers. The server does not reject or normalize duplicate Content-Length headers, leading to desynchronization between the front-end and back-end.
Voltronic Power SNMP Web Pro w wersji 1.1 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do uprzywilejowanych funkcji zarządzania poprzez manipulację wartościami localStorage w przeglądarce. Atakujący mogą modyfikować stan uwierzytelnienia po stronie klienta, aby obejść kontrole dostępu po stronie serwera.
Interfejs webowy na wielu przełącznikach Omada nieprawidłowo waliduje niektóre zewnętrzne dane wejściowe, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem podczas przetwarzania spreparowanych żądań. W określonych warunkach ta wada może skutkować niezamierzonym wykonaniem poleceń.
Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.6.0-alpha.12 i 8.6.38, nieautoryzowany atakujący może przejąć dowolne konto użytkownika utworzone z użyciem dostawcy uwierzytelniania, który nie weryfikuje formatu identyfikatora użytkownika, co pozwala na uzyskanie ważnego tokena sesji.
ZeptoClaw to osobisty asystent AI, który przed wersją 0.7.6 miał podatność na obejście komponentu związanego z wiszącymi dowiązaniami, problem TOCTOU między walidacją a użyciem oraz obejście aliasu dowiązania twardego. Podatność ta została naprawiona w wersji 0.7.6.
W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez funkcję set_config. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

