CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-21622
Critical

Podatność związana z niewystarczającym wygasaniem sesji w module 'Elixir.Hexpm.Accounts.PasswordReset' pozwala na przejęcie konta. Tokeny resetowania hasła generowane w procesie 'Resetuj swoje hasło' nie wygasają, co stwarza ryzyko ich wykorzystania przez atakujących.

CVE-2026-29188
Critical

File Browser przed wersją 2.61.1 zawierał lukę w kontroli dostępu w punkcie końcowym DELETE protokołu TUS, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami tylko do tworzenia na usuwanie dowolnych plików i katalogów w ich zakresie. Problem ten został naprawiony w wersji 2.61.1.

CVE-2026-28443
Critical

OpenReplay to zestaw do rejestrowania sesji, który można hostować samodzielnie. W wersjach przed 1.20.0 występowała podatność na wstrzykiwanie SQL w parametrze sort.field w punkcie końcowym POST /{projectId}/cards/search. Problem ten został naprawiony w wersji 1.20.0.

CVE-2026-0848
Critical

Wersje NLTK do 3.9.2 są podatne na wykonanie dowolnego kodu z powodu niewłaściwej walidacji wejścia w module StanfordSegmenter. Moduł ten dynamicznie ładuje zewnętrzne pliki .jar bez weryfikacji lub piaskownicy.

CVE-2025-70948
Critical

W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.

CVE-2025-55208
Critical

Chamilo to system zarządzania nauką. Wersje przed 1.11.34 mają podatność na Stored XSS poprzez niebezpieczne przesyłanie plików w 'Sieciach Społecznościowych', co pozwala użytkownikowi o niskich uprawnieniach na wykonanie dowolnego kodu w skrzynce odbiorczej administratora, umożliwiając przejęcie konta administratora.

CVE-2025-29165
Critical

An issue in D-Link DIR-1253 MESH V1.6.1684 allows an attacker to escalate privileges via the etc/shadow.sample component.

CVE-2026-27944
Critical

Nginx UI to interfejs webowy dla serwera Nginx. W wersjach przed 2.3.3, punkt końcowy /api/backup był dostępny bez uwierzytelnienia, co ujawniało klucze szyfrujące potrzebne do odszyfrowania kopii zapasowej w nagłówku odpowiedzi X-Backup-Security.

CVE-2026-25921
Critical

Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.

CVE-2026-24457
Critical

Niebezpieczne parsowanie konfiguracji OpenMQ umożliwia zdalnemu atakującemu odczyt dowolnych plików z serwera MQ Brokera. W pełni wykorzystana podatność może prowadzić do odczytu nieautoryzowanych plików systemu operacyjnego hosta OpenMQ.

CVE-2025-70233
Critical

W podatności CVE-2025-70233 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetEnableWizard.

CVE-2025-70232
Critical

W podatności CVE-2025-70232 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetMACFilter.

CVE-2025-70231
Critical

D-Link DIR-513 w wersji 1.10 zawiera krytyczną podatność. Podczas przetwarzania żądań POST związanych z kodami weryfikacyjnymi w /goform/formLogin, przechodzi do /goform/getAuthCode, ale nie filtruje wartości parametru FILECODE, co prowadzi do podatności na przejście ścieżki.

CVE-2025-70230
Critical

W podatności CVE-2025-70230 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formSetDDNS.

CVE-2025-70229
Critical

W podatności CVE-2025-70229 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSchedule.

CVE-2025-13476
Critical

Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.

CVE-2026-30793
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.

CVE-2026-30789
Critical

A vulnerability in the RustDesk client allows for password brute forcing due to insufficient computational effort in hashing and improper restriction of excessive authentication attempts. The authentication mechanism based on SHA256 does not use a slow key-derivation function, enabling attackers to recover passwords offline.

CVE-2026-30783
Critical

A vulnerability in the RustDesk Client allows privilege abuse across multiple platforms, including Windows, MacOS, Linux, iOS, Android, and WebClient. This affects modules related to configuration management and the API sync loop.

CVE-2026-2599
Critical

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

PreviousPage 147 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS