CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2016-20030
Critical

ZKTeco ZKBioSecurity 3.0 contains a user enumeration vulnerability that allows unauthenticated attackers to discover valid usernames by submitting partial characters via the username parameter.

CVE-2016-20026
Critical

ZKTeco ZKBioSecurity 3.0 contains hardcoded credentials in the bundled Apache Tomcat server that allow unauthenticated attackers to access the manager application. Attackers can authenticate with hardcoded credentials stored in tomcat-users.xml to upload malicious WAR archives containing JSP applications and execute arbitrary code with SYSTEM privileges.

CVE-2016-20024
Critical

ZKTeco ZKTime.Net version 3.0.1.6 contains an insecure file permissions vulnerability that allows unprivileged users to escalate privileges by modifying executable files. Attackers can exploit world-writable permissions on the ZKTimeNet3.0 directory and its contents to replace executable files with malicious binaries.

CVE-2026-3891
Critical

Wtyczka Pix for WooCommerce dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku weryfikacji uprawnień oraz walidacji typu pliku w funkcji 'lkn_pix_for_woocommerce_c6_save_settings' we wszystkich wersjach do 1.5.0 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.

CVE-2026-32367
Critical

W podatności CVE-2026-32367 występuje niewłaściwa kontrola generowania kodu, co prowadzi do możliwości zdalnego wstrzyknięcia kodu w bibliotece Modal Dialog w wersjach od n/a do 3.5.16. Atakujący może wykorzystać tę lukę do wprowadzenia złośliwego kodu.

CVE-2026-32306
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.23, API agregacji telemetrycznej akceptowało parametry kontrolowane przez użytkownika, co umożliwiało wstrzykiwanie dowolnego SQL do zapytań ClickHouse, co prowadziło do poważnych zagrożeń dla bezpieczeństwa.

CVE-2026-32304
Critical

Locutus library before version 3.0.14 has a vulnerability in the create_function(args, code) function that passes both parameters directly to the Function constructor without sanitization, allowing arbitrary JavaScript code execution.

CVE-2026-32301
Critical

Centrifugo to otwartoźródłowy serwer wiadomości w czasie rzeczywistym, który przed wersją 6.7.0 jest podatny na atak typu Server-Side Request Forgery (SSRF) przy skonfigurowanym dynamicznym adresie URL JWKS z użyciem zmiennych szablonowych. Nieautoryzowany atakujący może stworzyć JWT z złośliwą wartością roszczenia iss lub aud, co prowadzi do wysłania żądania HTTP do kontrolowanego przez atakującego miejsca.

CVE-2026-31886
Critical

Dagu to silnik workflow z wbudowanym interfejsem użytkownika w sieci. W wersjach przed 2.2.4 pole żądania dagRunId akceptowane przez punkty końcowe wykonania DAG inline nie jest walidowane, co pozwala na wykorzystanie segmentów .. do przekierowania ścieżki katalogu tymczasowego poza zamierzony katalog.

CVE-2026-31806
Critical

In FreeRDP prior to 3.24.0, the gdi_surface_bits() function fails to properly validate bmp.width and bmp.height values from the RDP server. A malicious server can supply crafted values exceeding the surface size, causing a heap buffer overflow during bitmap decoding. The attacker controls pixel data, potentially overwriting adjacent heap memory.

CVE-2026-26954
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.34 istniała możliwość uzyskania tablic zawierających funkcje, co pozwalało na ucieczkę z sandboxa.

CVE-2026-25823
Critical

Urządzenia HMS Networks Ewon Flexy z firmware przed 15.0s4, Cosy+ z firmware 22.xx przed 22.1s6 oraz Cosy+ z firmware 23.xx przed 23.0s3 mają podatność na przepełnienie bufora stosu, co prowadzi do odmowy usługi. Ta podatność może być również wykorzystana do zdalnego wykonania kodu bez uwierzytelnienia.

CVE-2026-25818
Critical

Urządzenia HMS Networks Ewon Flexy z firmware przed wersją 15.0s4 oraz Cosy+ z firmware 22.xx przed wersją 22.1s6 i 23.xx przed wersją 23.0s3 mają słabą entropię dla ciasteczek uwierzytelniających. To umożliwia atakującemu, który posiada skradzione ciasteczko sesyjne, odnalezienie hasła użytkownika poprzez atak brute-force na parametr szyfrowania.

CVE-2026-23941
Critical

The 'HTTP Request Smuggling' vulnerability in the Erlang OTP httpd module allows for inconsistent interpretation of HTTP headers. The server does not reject or normalize duplicate Content-Length headers, leading to desynchronization between the front-end and back-end.

CVE-2026-22192
Critical

Voltronic Power SNMP Web Pro w wersji 1.1 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do uprzywilejowanych funkcji zarządzania poprzez manipulację wartościami localStorage w przeglądarce. Atakujący mogą modyfikować stan uwierzytelnienia po stronie klienta, aby obejść kontrole dostępu po stronie serwera.

CVE-2026-1668
Critical

Interfejs webowy na wielu przełącznikach Omada nieprawidłowo waliduje niektóre zewnętrzne dane wejściowe, co może prowadzić do dostępu do pamięci poza przydzielonym zakresem podczas przetwarzania spreparowanych żądań. W określonych warunkach ta wada może skutkować niezamierzonym wykonaniem poleceń.

CVE-2026-3611
Critical

Kontroler zarządzania budynkiem Honeywell IQ4x w domyślnej konfiguracji fabrycznej udostępnia pełny interfejs HMI bez uwierzytelnienia. Brak skonfigurowanego modułu użytkownika powoduje, że bezpieczeństwo jest wyłączone, a system działa w kontekście Gościa Systemowego, co umożliwia dostęp do funkcji odczytu/zapisu każdemu, kto ma dostęp do interfejsu HTTP.

CVE-2026-32248
Critical

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.6.0-alpha.12 i 8.6.38, nieautoryzowany atakujący może przejąć dowolne konto użytkownika utworzone z użyciem dostawcy uwierzytelniania, który nie weryfikuje formatu identyfikatora użytkownika, co pozwala na uzyskanie ważnego tokena sesji.

CVE-2026-32232
Critical

ZeptoClaw to osobisty asystent AI, który przed wersją 0.7.6 miał podatność na obejście komponentu związanego z wiszącymi dowiązaniami, problem TOCTOU między walidacją a użyciem oraz obejście aliasu dowiązania twardego. Podatność ta została naprawiona w wersji 0.7.6.

CVE-2026-26793
Critical

W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez funkcję set_config. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

PreviousPage 143 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS