CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
An issue pertaining to CWE-259: Use of Hard-coded Password was discovered in oslabs-beta ThermaKube master.
W wersji 4.0.14 narzędzia benkeen generatedata odkryto problem związany z niewłaściwą neutralizacją specjalnych elementów używanych w poleceniach SQL, co klasyfikuje się jako CWE-89.
Insecure access control in Asseco SEE Live 2.0's Contact Plan, E-Mail, SMS and Fax components allows remote attackers to access and execute attachments via a computable URL.
Plunk to otwartoźródłowa platforma e-mailowa oparta na AWS SES. Przed wersją 0.7.0 istniała podatność typu Server-Side Request Forgery (SSRF) w obsłudze webhooków SNS, która pozwalała nieautoryzowanemu atakującemu na wysłanie spreparowanego żądania, powodującego, że serwer wykonywał dowolne zewnętrzne żądanie HTTP GET.
Podatność CVE-2026-31976 dotyczy GitHub Action dla Xygeni Scanner, gdzie atakujący wykorzystał skompromitowane dane uwierzytelniające do wstrzyknięcia obfuskowanego kodu powłoki do pliku action.yml. Chociaż wnioski o pull requesty zostały zablokowane przez zasady ochrony gałęzi, atakujący zmienił tag v5, aby wskazywał na złośliwy commit, co umożliwiło wykonanie złośliwego kodu w workflow.
Himmelblau to zestaw interoperacyjny dla Microsoft Azure Entra ID i Intune. W wersjach od 3.0.0 do przed 3.1.0, brak skonfigurowanej domeny najemcy w pliku himmelblau.conf powoduje, że uwierzytelnianie nie jest ograniczone do konkretnego najemcy, co umożliwia przyjmowanie prób uwierzytelnienia z dowolnych domen Entra ID.
Black to bezkompromisowy formatter kodu w Pythonie, który oferuje akcję GitHub do formatowania kodu. Akcja ta obsługuje opcję use_pyproject: true, co pozwala na odczyt wersji Black z pliku pyproject.toml, który może być edytowany przez złośliwy pull request, prowadząc do wykonania dowolnego kodu.
WeGIA to menedżer internetowy dla instytucji charytatywnych. Przed wersją 3.6.6 występuje krytyczna podatność na wstrzykiwanie SQL w aplikacji WeGIA, która pozwala uwierzytelnionemu atakującemu na wykonywanie dowolnych poleceń SQL.
W wersjach 0.4.0 i wcześniejszych w Unity Catalog występuje krytyczna podatność na obejście uwierzytelniania w punkcie wymiany tokenów (/api/1.0/unity-control/auth/tokens). Punkt ten wyciąga roszczenie issuer (iss) z przychodzących JWT i używa go do dynamicznego pobierania punktu JWKS do walidacji podpisu, nie weryfikując, czy issuer jest zaufanym dostawcą tożsamości.
Frappe to framework aplikacji webowych. Przed wersjami 15.84.0 i 14.99.0, specjalnie przygotowane żądanie wysłane do określonego punktu końcowego mogło prowadzić do wstrzyknięcia SQL, co pozwalało atakującemu na wyciągnięcie informacji, do których normalnie nie miałby dostępu.
Taskosaur to platforma do zarządzania projektami z funkcjonalnością AI do wykonywania zadań. W wersji 1.0.0 aplikacja nieprawidłowo weryfikuje lub ogranicza parametr roli podczas procesu rejestracji użytkownika, co pozwala atakującemu na przypisanie sobie podwyższonych uprawnień.
SAPIDO RB-1732 w wersji 2.0.43 zawiera podatność na zdalne wykonanie poleceń, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez przesyłanie złośliwego wejścia do punktu końcowego formSysCmd. Atakujący mogą wysyłać żądania POST z parametrem sysCmd zawierającym polecenia powłoki, aby wykonać kod z uprawnieniami routera.
FileThingie w wersji 2.5.7 zawiera podatność na nieautoryzowane przesyłanie plików, która umożliwia atakującym przesyłanie złośliwych plików poprzez wysyłanie archiwów ZIP do punktu końcowego ft2.php. Atakujący mogą przesyłać pliki ZIP zawierające powłoki PHP, a następnie wydobywać je do dostępnych katalogów.
NetGain EM Plus w wersji 10.1.68 zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez przesyłanie złośliwych parametrów do punktu końcowego script_test.jsp. Atakujący mogą wysyłać żądania POST z poleceniami powłoki osadzonymi w parametrze 'content', aby wykonać kod i uzyskać wyniki poleceń.
Platforma zarządzania systemami Epross AVCON6 zawiera podatność na wstrzykiwanie języka nawigacji obiektów (OGNL), która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez wstrzykiwanie złośliwych wyrażeń OGNL. Atakujący mogą wysyłać spreparowane żądania do punktu końcowego login.action z ładunkami OGNL w parametrze redirect, aby zainicjować obiekty ProcessBuilder i wykonywać polecenia systemowe z uprawnieniami roota.
Cloud CLI (znany również jako Claude Code UI) przed wersją 1.25.0 zawierał podatność na wstrzyknięcie poleceń systemowych przez WebSocket Shell. Parametry projectPath i initialCommand w pliku server/index.js były bezpośrednio pobierane z ładunku wiadomości WebSocket i interpolowane do ciągu polecenia bash bez jakiejkolwiek sanitizacji, co umożliwiało wykonanie dowolnych poleceń systemowych.
W Parse Server, przed wersjami 9.6.0-alpha.5 i 8.6.31, występuje podatność na wstrzykiwanie SQL w adapterze pamięci masowej PostgreSQL podczas przetwarzania operacji Increment na zagnieżdżonych polach obiektów przy użyciu notacji kropkowej. Nazwa podklucza jest interpolowana bezpośrednio do literałów ciągów SQL bez odpowiedniego zabezpieczenia.
Cloud CLI (znany również jako Claude Code UI) przed wersją 1.24.0 posiadał wiele punktów końcowych API związanych z Gitem, które używały execAsync() z interpolacją ciągów parametrów kontrolowanych przez użytkownika (plik, gałąź, wiadomość, commit). To umożliwiało uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych.
W Parse Server, otwartym backendzie działającym na Node.js, występuje podatność na wstrzykiwanie SQL w adapterze pamięci masowej PostgreSQL. Problem ten pojawia się podczas przetwarzania operacji inkrementacji na zagnieżdżonych polach obiektów przy użyciu notacji kropkowej, co pozwala atakującemu na wstrzyknięcie dowolnych subzapytań SQL.
Jellyfin to system multimedialny typu open-source. Workflow code-quality.yml w projekcie jellyfin/jellyfin-ios jest podatny na wykonanie dowolnego kodu poprzez pull requesty z forku, co może prowadzić do przejęcia repozytorium oraz wycieku poufnych danych.

