CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-24713
Critical

W Apache IoTDB występuje podatność związana z niewłaściwą walidacją danych wejściowych. Dotyczy to wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7.

CVE-2026-24015
Critical

Podatność w Apache IoTDB dotyczy wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7. Użytkownicy powinni zaktualizować swoje oprogramowanie do wersji 1.3.7 lub 2.0.7, aby usunąć problem.

CVE-2025-41765
Critical

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupload.cgi do przesyłania i stosowania dowolnych danych. Może to obejmować m.in. obrazy kontaktów, certyfikaty HTTPS, kopie zapasowe systemu, konfiguracje serwera oraz certyfikaty i klucze BACnet/SC.

CVE-2025-41764
Critical

Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupdate.cgi do przesyłania i stosowania dowolnych aktualizacji.

CVE-2026-3823
Critical

A stack-based buffer overflow vulnerability has been discovered in the EHG2408 series switches by Atop Technologies. This allows unauthenticated remote attackers to control the program's execution flow and execute arbitrary code.

CVE-2026-3630
Critical

Delta Electronics COMMGR2 posiada podatność typu przepełnienie bufora na stosie. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-3703
Critical

W urządzeniu Wavlink NU516U1 251208 zidentyfikowano lukę, która dotyczy funkcji sub_401A10 w pliku /cgi-bin/login.cgi. Manipulacja argumentem ipaddr może prowadzić do zapisu poza przydzielonym obszarem pamięci, co stwarza możliwość zdalnego ataku.

CVE-2026-30909
Critical

Wersje Crypt::NaCl::Sodium do 2.002 dla Perla mają potencjalne przepełnienia całkowite. Funkcje bin2hex, encrypt, aes256gcm_encrypt_afternm i seal nie sprawdzają, czy rozmiar wyjścia będzie mniejszy niż SIZE_MAX, co może prowadzić do owinięcia całkowitego i zbyt małego bufora wyjściowego.

CVE-2026-30863
Critical

Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.

CVE-2026-30861
Critical

WeKnora to framework oparty na LLM, który umożliwia głębokie zrozumienie dokumentów i semantyczne wyszukiwanie. W wersjach od 0.2.5 do przed 0.2.10 występuje podatność na zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji konfiguracji MCP stdio, co pozwala atakującym na rejestrację konta i wykorzystanie luki wstrzykiwania poleceń.

CVE-2026-30860
Critical

WeKnora to framework oparty na LLM, zaprojektowany do głębokiego zrozumienia dokumentów i semantycznego wyszukiwania. Przed wersją 0.2.12 występowała podatność na zdalne wykonanie kodu (RCE) w funkcjonalności zapytań do bazy danych, umożliwiająca atakującym ominięcie zabezpieczeń przed wstrzyknięciem SQL.

CVE-2026-30832
Critical

Soft Serve to samodzielny serwer Git, który od wersji 0.6.0 do przed wersją 0.11.4 pozwala uwierzytelnionemu użytkownikowi SSH na wymuszenie serwera do wykonywania żądań HTTP do wewnętrznych adresów IP. Atakujący może wykorzystać złośliwy URL z parametrem --lfs-endpoint podczas importu repozytoriów, co może prowadzić do uzyskania pełnego dostępu do wewnętrznych usług.

CVE-2026-29191
Critical

ZITADEL to platforma zarządzania tożsamością typu open source. W wersjach od 4.0.0 do 4.11.1 odkryto podatność w interfejsie logowania V2, która umożliwiała potencjalne przejęcie konta poprzez XSS w punkcie końcowym /saml-post. Problem został naprawiony w wersji 4.12.0.

CVE-2026-30824
Critical

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.

CVE-2026-30821
Critical

Flowise to interfejs typu drag & drop do budowy dostosowanego przepływu dużego modelu językowego. W wersjach przed 3.0.13, punkt końcowy /api/v1/attachments/:chatflowId/:chatId jest wymieniony w WHITELIST_URLS, co umożliwia nieautoryzowany dostęp do API przesyłania plików, pozwalając atakującym na przesyłanie złośliwych skryptów lub dowolnych plików.

CVE-2026-25072
Critical

Oprogramowanie układowe przełącznika sieciowego XikeStor SKS8310-8X w wersjach 1.04.B07 i wcześniejszych zawiera podatność na przewidywalny identyfikator sesji w punkcie końcowym /goform/SetLogin. Umożliwia to zdalnym atakującym przejęcie uwierzytelnionych sesji użytkowników.

CVE-2026-25070
Critical

Wersje oprogramowania układowego XikeStor SKS8310-8X Network Switch do 1.04.B07 zawierają podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym /goform/PingTestSet. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń systemowych.

CVE-2026-29789
Critical

Vito to samodzielnie hostowana aplikacja webowa, która pomaga zarządzać serwerami i wdrażać aplikacje PHP na serwerach produkcyjnych. W wersjach przed 3.20.3 brakowało sprawdzenia autoryzacji w akcjach tworzenia witryn, co pozwalało uwierzytelnionemu atakującemu z dostępem do zapisu w jednym projekcie na tworzenie/zarządzanie witrynami na serwerach należących do innych projektów, poprzez podanie obcego server_id.

CVE-2026-29063
CriticalEPSS 58%

Immutable.js is vulnerable to Prototype Pollution via the mergeDeep(), mergeDeepWith(), merge(), Map.toJS(), and Map.toObject() APIs. The issue is fixed in versions 3.8.3, 4.3.7, and 5.1.5.

CVE-2026-30831
Critical

W Rocket.Chat, przed wersjami 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 i 8.2.0, występowały luki w uwierzytelnianiu w usłudze DDP Streamer. Metoda Account.login nie wymuszała Uwierzytelniania Dwuskładnikowego (2FA) ani nie weryfikowała statusu konta użytkownika, co pozwalało na logowanie zdezaktualizowanych użytkowników.

PreviousPage 149 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS