CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.21, użytkownik o niskich uprawnieniach może obejść autoryzację i izolację najemców w OneUptime v10.0.20 i wcześniejszych, wysyłając sfałszowany nagłówek is-multi-tenant-query wraz z kontrolowanym nagłówkiem projectid.
Glances to narzędzie do monitorowania systemów, które przed wersją 4.5.1 miało moduł eksportu TimescaleDB, który konstruował zapytania SQL za pomocą konkatenacji łańcuchów z niesanitowanymi danymi monitorowania systemu. Metoda normalize() otacza wartości łańcuchowe pojedynczymi cudzysłowami, ale nie ucieka od osadzonych pojedynczych cudzysłowów, co umożliwia łatwe wstrzykiwanie SQL.
Incorrect access control due to missing 2FA rate-limiting allows unlimited brute-force attempts and full MFA bypass with no user interaction required. This affects the Deutsche Telekom AG Telekom Account Management Portal versions before 2025-10-24.
Incorrect access control via activation token reuse on the password-reset endpoint allowing unauthorized password resets and full account takeover.
A deserialization vulnerability in LimeSurvey before v6.15.0+250623 allows a remote attacker to execute arbitrary code on the server.
Nieautoryzowany zdalny atakujący może przeprowadzić atak typu injection komend poprzez Modbus-TCP lub Modbus-RTU, co pozwala na uzyskanie dostępu do odczytu i zapisu na podatnym urządzeniu.
Urządzenia dotknięte tą podatnością nieprawidłowo oczyszczają zawartość plików śledzenia. Może to umożliwić atakującemu wstrzyknięcie kodu poprzez inżynierię społeczną autoryzowanego użytkownika, który ma prawo do funkcji 'Odczyt diagnostyki', aby zaimportować specjalnie przygotowany plik śledzenia.
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.20, syntetyczne monitory OneUptime pozwalały użytkownikom o niskich uprawnieniach na przesyłanie niestandardowego kodu Playwright, który był wykonywany na usłudze oneuptime-probe, co prowadziło do możliwości zdalnego wykonania kodu (RCE).
OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.18, OneUptime pozwala członkom projektu na uruchamianie niestandardowego kodu Playwright/JavaScript za pomocą Synthetic Monitors, co prowadzi do możliwości wykonania nieautoryzowanych poleceń systemowych z powodu niebezpiecznego wykonania kodu w module Node.js.
SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.10 występuje podatność na traversję ścieżek w punkcie końcowym /export, która pozwala atakującemu na odczyt dowolnych plików z systemu plików serwera.
W aplikacji Appsmith, przed wersją 1.96, występowała krytyczna podatność typu Stored XSS w widżecie tabeli (TableWidgetV2). Przyczyną jest brak sanitizacji HTML w procesie renderowania komponentu React, co pozwala na wstrzykiwanie złośliwych atrybutów do DOM.
SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy uprzywilejowany użytkownik przesyła nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do poważnego wpływu na poufność, integralność i dostępność systemu gospodarza.
Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.
Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to RCE.
Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.4 i wcześniejszych, middleware authorized() serwera Budibase, który chroni każdy punkt końcowy API po stronie serwera, może być całkowicie ominięty przez dodanie wzoru ścieżki webhooka do ciągu zapytania w dowolnym żądaniu.
Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.5 i wcześniejszych występuje podatność na traversję ścieżek w punkcie końcowym przetwarzania ZIP PWA, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami twórcy na odczyt dowolnych plików z systemu plików serwera.
W linagora Twake v2023.Q1.1223 zidentyfikowano problem związany z CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego. Problem ten może prowadzić do wykonania nieautoryzowanych poleceń.
W Miazzy oa-front-service master odkryto problem związany z CWE-829: Włączenie funkcjonalności z nieufnej sfery kontrolnej.
W systemie oslabs-beta ThermaKube master odkryto problem związany z CWE-918: Fałszywe żądanie serwera. Ta podatność może umożliwić atakującemu manipulację żądaniami wysyłanymi przez serwer.
W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

