CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-31840
Critical

Parse Server to open source backend, który może być wdrożony na każdej infrastrukturze obsługującej Node.js. Przed wersjami 9.6.0-alpha.2 i 8.6.28, atakujący mógł wykorzystać nazwę pola w notacji kropkowej w połączeniu z parametrem sortowania, aby wstrzyknąć SQL do bazy danych PostgreSQL poprzez niewłaściwe eskapowanie wartości podpól w zapytaniach notacji kropkowej.

CVE-2026-1524
Critical

In Neo4j Enterprise versions prior to 2026.02, there is an issue with SSO implementation that can lead to unauthorized access. This occurs when an admin configures multiple OIDC providers, some of which are authentication-only but may also provide authorization.

CVE-2025-70082
Critical

An issue in Lantronix EDS3000PS v.3.1.0.0R2 allows an attacker to execute arbitrary code and obtain sensitive information via the ltrx_evo component.

CVE-2025-67041
Critical

An issue was discovered in Lantronix EDS3000PS version 3.1.0.0R2 where the host parameter of the TFTP client in the Filesystem Browser page is not properly sanitized. This can be exploited to escape from the original command and execute an arbitrary one with root privileges.

CVE-2025-67039
Critical

An authentication bypass vulnerability was discovered in Lantronix EDS3000PS version 3.1.0.0R2. By appending a specific suffix to the URL and sending an Authorization header with the username 'admin', an attacker can bypass authentication on management pages.

CVE-2025-67038
CriticalActively exploitedEPSS 55%

An issue was discovered in Lantronix EDS5000 2.1.0.0R3 where the HTTP RPC module executes a shell command to write logs upon failed authentication. The username is directly concatenated with the command without sanitization, allowing attackers to inject arbitrary OS commands into the username parameter. Injected commands are executed with root privileges.

CVE-2025-67035
Critical

An OS command injection vulnerability was found in Lantronix EDS5000 version 2.1.0.0R3 affecting SSH Client and SSH Server pages. Missing input sanitization allows an attacker to inject arbitrary commands when deleting objects like server keys, users, and known hosts. Commands execute with root privileges.

CVE-2026-30741
Critical

W podatności CVE-2026-30741 w platformie OpenClaw Agent v2026.2.6 występuje możliwość zdalnego wykonania kodu (RCE) poprzez atak typu injection w promptach po stronie żądania, co pozwala atakującym na wykonanie dowolnego kodu.

CVE-2026-28229
Critical

Argo Workflows prior to versions 4.0.2 and 3.7.11 allows unauthorized access to WorkflowTemplates and ClusterWorkflowTemplates via any request with an Authorization: Bearer nothing token. This can leak sensitive content, including embedded Secret manifests.

CVE-2026-27897
Critical

W aplikacji Vociferous przed wersją 4.4.2 występuje podatność w pliku src/api/system.py w trasie export_file. Aplikacja akceptuje ładunek JSON zawierający nazwę pliku i treść, jednak nie weryfikuje poprawności nazwy pliku przed przetworzeniem przez logikę systemu plików.

CVE-2026-30903
Critical

The Mail feature in Zoom Workplace for Windows before version 6.6.0 has an external control of file name or path, which may allow an unauthenticated user to escalate privileges via network access.

CVE-2026-3826
Critical

IFTOP opracowany przez WellChoose ma podatność na lokalne włączenie pliku, co pozwala nieautoryzowanym zdalnym atakującym na wykonanie dowolnego kodu na serwerze.

CVE-2026-2631
Critical

Wtyczka Datalogics Ecommerce Delivery dla WordPressa przed wersją 2.6.60 udostępnia nieautoryzowany punkt końcowy REST, który pozwala zdalnym użytkownikom na modyfikację opcji `datalogics_token` bez weryfikacji. Token ten jest następnie używany do autoryzacji w chronionym punkcie końcowym, co umożliwia wykonywanie dowolnych operacji `update_option()` w WordPressie.

CVE-2026-27842
Critical

W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z ominięciem uwierzytelniania, który może pozwolić atakującemu na ominięcie procesu logowania i zmianę konfiguracji urządzenia.

CVE-2026-24448
Critical

W urządzeniach MR-GM5L-S1 i MR-GM5A-L1 występuje problem z użyciem twardo zakodowanych poświadczeń, co może umożliwić atakującemu uzyskanie dostępu administracyjnego.

CVE-2023-27573
Critical

Netbox-docker versions before 2.5.0 have a superuser account with default credentials. The default password for the admin account is 'admin', and the SUPERUSER_API_TOKEN value is '0123456789abcdef0123456789abcdef01234567'.

CVE-2026-29515
Critical

MiCode FileExplorer contains an authentication bypass vulnerability in the embedded SwiFTP FTP server component that allows attackers to log in without valid credentials.

CVE-2026-23813
Critical

Zidentyfikowano podatność w interfejsie zarządzania opartym na sieci web przełączników AOS-CX, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na obejście istniejących zabezpieczeń uwierzytelniania. W niektórych przypadkach może to umożliwić zresetowanie hasła administratora.

CVE-2026-31800
Critical

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 9.5.2-alpha.12 i 8.6.25, wewnętrzne klasy _GraphQLConfig i _Audience mogą być odczytywane, modyfikowane i usuwane za pomocą ogólnych tras API REST bez uwierzytelnienia klucza głównego.

CVE-2026-30966
Critical

Parse Server, otwarte oprogramowanie backendowe, przed wersjami 9.5.2-alpha.7 i 8.6.20, pozwalało na bezpośredni dostęp do wewnętrznych tabel przez REST API lub GraphQL API przy użyciu jedynie klucza aplikacji. Atakujący mógł tworzyć, odczytywać, aktualizować lub usuwać rekordy w wewnętrznych tabelach relacji.

PreviousPage 146 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS