CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Parse Server to open source backend, który może być wdrożony na każdej infrastrukturze obsługującej Node.js. Przed wersjami 9.6.0-alpha.2 i 8.6.28, atakujący mógł wykorzystać nazwę pola w notacji kropkowej w połączeniu z parametrem sortowania, aby wstrzyknąć SQL do bazy danych PostgreSQL poprzez niewłaściwe eskapowanie wartości podpól w zapytaniach notacji kropkowej.
In Neo4j Enterprise versions prior to 2026.02, there is an issue with SSO implementation that can lead to unauthorized access. This occurs when an admin configures multiple OIDC providers, some of which are authentication-only but may also provide authorization.
An issue in Lantronix EDS3000PS v.3.1.0.0R2 allows an attacker to execute arbitrary code and obtain sensitive information via the ltrx_evo component.
An issue was discovered in Lantronix EDS3000PS version 3.1.0.0R2 where the host parameter of the TFTP client in the Filesystem Browser page is not properly sanitized. This can be exploited to escape from the original command and execute an arbitrary one with root privileges.
An authentication bypass vulnerability was discovered in Lantronix EDS3000PS version 3.1.0.0R2. By appending a specific suffix to the URL and sending an Authorization header with the username 'admin', an attacker can bypass authentication on management pages.
An issue was discovered in Lantronix EDS5000 2.1.0.0R3 where the HTTP RPC module executes a shell command to write logs upon failed authentication. The username is directly concatenated with the command without sanitization, allowing attackers to inject arbitrary OS commands into the username parameter. Injected commands are executed with root privileges.
An OS command injection vulnerability was found in Lantronix EDS5000 version 2.1.0.0R3 affecting SSH Client and SSH Server pages. Missing input sanitization allows an attacker to inject arbitrary commands when deleting objects like server keys, users, and known hosts. Commands execute with root privileges.
W podatności CVE-2026-30741 w platformie OpenClaw Agent v2026.2.6 występuje możliwość zdalnego wykonania kodu (RCE) poprzez atak typu injection w promptach po stronie żądania, co pozwala atakującym na wykonanie dowolnego kodu.
Argo Workflows prior to versions 4.0.2 and 3.7.11 allows unauthorized access to WorkflowTemplates and ClusterWorkflowTemplates via any request with an Authorization: Bearer nothing token. This can leak sensitive content, including embedded Secret manifests.
W aplikacji Vociferous przed wersją 4.4.2 występuje podatność w pliku src/api/system.py w trasie export_file. Aplikacja akceptuje ładunek JSON zawierający nazwę pliku i treść, jednak nie weryfikuje poprawności nazwy pliku przed przetworzeniem przez logikę systemu plików.
The Mail feature in Zoom Workplace for Windows before version 6.6.0 has an external control of file name or path, which may allow an unauthenticated user to escalate privileges via network access.
IFTOP opracowany przez WellChoose ma podatność na lokalne włączenie pliku, co pozwala nieautoryzowanym zdalnym atakującym na wykonanie dowolnego kodu na serwerze.
Wtyczka Datalogics Ecommerce Delivery dla WordPressa przed wersją 2.6.60 udostępnia nieautoryzowany punkt końcowy REST, który pozwala zdalnym użytkownikom na modyfikację opcji `datalogics_token` bez weryfikacji. Token ten jest następnie używany do autoryzacji w chronionym punkcie końcowym, co umożliwia wykonywanie dowolnych operacji `update_option()` w WordPressie.
W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z ominięciem uwierzytelniania, który może pozwolić atakującemu na ominięcie procesu logowania i zmianę konfiguracji urządzenia.
W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu uzyskanie dostępu administracyjnego.
Netbox-docker versions before 2.5.0 have a superuser account with default credentials. The default password for the admin account is 'admin', and the SUPERUSER_API_TOKEN value is '0123456789abcdef0123456789abcdef01234567'.
MiCode FileExplorer contains an authentication bypass vulnerability in the embedded SwiFTP FTP server component that allows attackers to log in without valid credentials.
Zidentyfikowano podatność w interfejsie zarządzania opartym na sieci web przełączników AOS-CX, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na obejście istniejących zabezpieczeń uwierzytelniania. W niektórych przypadkach może to umożliwić zresetowanie hasła administratora.
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.5.2-alpha.12 i 8.6.25, wewnętrzne klasy _GraphQLConfig i _Audience mogą być odczytywane, modyfikowane i usuwane za pomocą ogólnych tras API REST bez uwierzytelnienia klucza głównego.
Parse Server, otwarte oprogramowanie backendowe, przed wersjami 9.5.2-alpha.7 i 8.6.20, pozwalało na bezpośredni dostęp do wewnętrznych tabel przez REST API lub GraphQL API przy użyciu jedynie klucza aplikacji. Atakujący mógł tworzyć, odczytywać, aktualizować lub usuwać rekordy w wewnętrznych tabelach relacji.

