CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-30956
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.21, użytkownik o niskich uprawnieniach może obejść autoryzację i izolację najemców w OneUptime v10.0.20 i wcześniejszych, wysyłając sfałszowany nagłówek is-multi-tenant-query wraz z kontrolowanym nagłówkiem projectid.

CVE-2026-30930
Critical

Glances to narzędzie do monitorowania systemów, które przed wersją 4.5.1 miało moduł eksportu TimescaleDB, który konstruował zapytania SQL za pomocą konkatenacji łańcuchów z niesanitowanymi danymi monitorowania systemu. Metoda normalize() otacza wartości łańcuchowe pojedynczymi cudzysłowami, ale nie ucieka od osadzonych pojedynczych cudzysłowów, co umożliwia łatwe wstrzykiwanie SQL.

CVE-2025-69615
Critical

Incorrect access control due to missing 2FA rate-limiting allows unlimited brute-force attempts and full MFA bypass with no user interaction required. This affects the Deutsche Telekom AG Telekom Account Management Portal versions before 2025-10-24.

CVE-2025-69614
Critical

Incorrect access control via activation token reuse on the password-reset endpoint allowing unauthorized password resets and full account takeover.

CVE-2025-56422
CriticalEPSS 54%

A deserialization vulnerability in LimeSurvey before v6.15.0+250623 allows a remote attacker to execute arbitrary code on the server.

CVE-2025-41709
Critical

Nieautoryzowany zdalny atakujący może przeprowadzić atak typu injection komend poprzez Modbus-TCP lub Modbus-RTU, co pozwala na uzyskanie dostępu do odczytu i zapisu na podatnym urządzeniu.

CVE-2025-40943
Critical

Urządzenia dotknięte tą podatnością nieprawidłowo oczyszczają zawartość plików śledzenia. Może to umożliwić atakującemu wstrzyknięcie kodu poprzez inżynierię społeczną autoryzowanego użytkownika, który ma prawo do funkcji 'Odczyt diagnostyki', aby zaimportować specjalnie przygotowany plik śledzenia.

CVE-2026-30921
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.20, syntetyczne monitory OneUptime pozwalały użytkownikom o niskich uprawnieniach na przesyłanie niestandardowego kodu Playwright, który był wykonywany na usłudze oneuptime-probe, co prowadziło do możliwości zdalnego wykonania kodu (RCE).

CVE-2026-30887
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach przed 10.0.18, OneUptime pozwala członkom projektu na uruchamianie niestandardowego kodu Playwright/JavaScript za pomocą Synthetic Monitors, co prowadzi do możliwości wykonania nieautoryzowanych poleceń systemowych z powodu niebezpiecznego wykonania kodu w module Node.js.

CVE-2026-30869
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.10 występuje podatność na traversję ścieżek w punkcie końcowym /export, która pozwala atakującemu na odczyt dowolnych plików z systemu plików serwera.

CVE-2026-30862
Critical

W aplikacji Appsmith, przed wersją 1.96, występowała krytyczna podatność typu Stored XSS w widżecie tabeli (TableWidgetV2). Przyczyną jest brak sanitizacji HTML w procesie renderowania komponentu React, co pozwala na wstrzykiwanie złośliwych atrybutów do DOM.

CVE-2026-27685
Critical

SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy uprzywilejowany użytkownik przesyła nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do poważnego wpływu na poufność, integralność i dostępność systemu gospodarza.

CVE-2026-0953
Critical

Wtyczka Tutor LMS Pro dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do 3.9.5 włącznie, za pośrednictwem dodatku Social Login. Problem wynika z braku weryfikacji, czy adres e-mail podany w żądaniu uwierzytelnienia odpowiada adresowi e-mail z zweryfikowanego tokena OAuth.

CVE-2025-11158
Critical

Hitachi Vantara Pentaho Data Integration & Analytics versions before 10.2.0.6, including 9.3.x and 8.3.x, do not restrict Groovy scripts in new PRPT reports published by users, allowing insertion of arbitrary scripts and leading to RCE.

CVE-2026-31816
Critical

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.4 i wcześniejszych, middleware authorized() serwera Budibase, który chroni każdy punkt końcowy API po stronie serwera, może być całkowicie ominięty przez dodanie wzoru ścieżki webhooka do ciągu zapytania w dowolnym żądaniu.

CVE-2026-30240
Critical

Budibase to platforma niskokodowa do tworzenia narzędzi wewnętrznych, przepływów pracy i paneli administracyjnych. W wersjach 3.31.5 i wcześniejszych występuje podatność na traversję ścieżek w punkcie końcowym przetwarzania ZIP PWA, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami twórcy na odczyt dowolnych plików z systemu plików serwera.

CVE-2025-70039
Critical

W linagora Twake v2023.Q1.1223 zidentyfikowano problem związany z CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego. Problem ten może prowadzić do wykonania nieautoryzowanych poleceń.

CVE-2025-70046
Critical

W Miazzy oa-front-service master odkryto problem związany z CWE-829: Włączenie funkcjonalności z nieufnej sfery kontrolnej.

CVE-2025-70042
Critical

W systemie oslabs-beta ThermaKube master odkryto problem związany z CWE-918: Fałszywe żądanie serwera. Ta podatność może umożliwić atakującemu manipulację żądaniami wysyłanymi przez serwer.

CVE-2025-40639
Critical

W Eventobot zidentyfikowano podatność na wstrzykiwanie SQL. Umożliwia ona atakującemu pobieranie, tworzenie, aktualizowanie oraz usuwanie baz danych za pomocą parametru 'promo_send' w pliku '/assets/php/calculate_discount.php'.

PreviousPage 148 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS