CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W Apache IoTDB występuje podatność związana z niewłaściwą walidacją danych wejściowych. Dotyczy to wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7.
Podatność w Apache IoTDB dotyczy wersji od 1.0.0 do przed 1.3.7 oraz od 2.0.0 do przed 2.0.7. Użytkownicy powinni zaktualizować swoje oprogramowanie do wersji 1.3.7 lub 2.0.7, aby usunąć problem.
Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupload.cgi do przesyłania i stosowania dowolnych danych. Może to obejmować m.in. obrazy kontaktów, certyfikaty HTTPS, kopie zapasowe systemu, konfiguracje serwera oraz certyfikaty i klucze BACnet/SC.
Z powodu niewystarczającego egzekwowania autoryzacji, nieautoryzowany zdalny atakujący może wykorzystać punkt końcowy wwwupdate.cgi do przesyłania i stosowania dowolnych aktualizacji.
A stack-based buffer overflow vulnerability has been discovered in the EHG2408 series switches by Atop Technologies. This allows unauthenticated remote attackers to control the program's execution flow and execute arbitrary code.
Delta Electronics COMMGR2 posiada podatność typu przepełnienie bufora na stosie. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.
W urządzeniu Wavlink NU516U1 251208 zidentyfikowano lukę, która dotyczy funkcji sub_401A10 w pliku /cgi-bin/login.cgi. Manipulacja argumentem ipaddr może prowadzić do zapisu poza przydzielonym obszarem pamięci, co stwarza możliwość zdalnego ataku.
Wersje Crypt::NaCl::Sodium do 2.002 dla Perla mają potencjalne przepełnienia całkowite. Funkcje bin2hex, encrypt, aes256gcm_encrypt_afternm i seal nie sprawdzają, czy rozmiar wyjścia będzie mniejszy niż SIZE_MAX, co może prowadzić do owinięcia całkowitego i zbyt małego bufora wyjściowego.
Parse Server to otwarte oprogramowanie backendowe, które może być wdrażane na każdej infrastrukturze obsługującej Node.js. W wersjach przed 8.6.10 i 9.5.0-alpha.11 adaptery uwierzytelniania Google, Apple i Facebooka pomijają walidację roszczenia 'audience' w przypadku braku odpowiedniej konfiguracji, co pozwala atakującemu na uwierzytelnienie się jako dowolny użytkownik na serwerze Parse przy użyciu ważnego JWT z innej aplikacji.
WeKnora to framework oparty na LLM, który umożliwia głębokie zrozumienie dokumentów i semantyczne wyszukiwanie. W wersjach od 0.2.5 do przed 0.2.10 występuje podatność na zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji konfiguracji MCP stdio, co pozwala atakującym na rejestrację konta i wykorzystanie luki wstrzykiwania poleceń.
WeKnora to framework oparty na LLM, zaprojektowany do głębokiego zrozumienia dokumentów i semantycznego wyszukiwania. Przed wersją 0.2.12 występowała podatność na zdalne wykonanie kodu (RCE) w funkcjonalności zapytań do bazy danych, umożliwiająca atakującym ominięcie zabezpieczeń przed wstrzyknięciem SQL.
Soft Serve to samodzielny serwer Git, który od wersji 0.6.0 do przed wersją 0.11.4 pozwala uwierzytelnionemu użytkownikowi SSH na wymuszenie serwera do wykonywania żądań HTTP do wewnętrznych adresów IP. Atakujący może wykorzystać złośliwy URL z parametrem --lfs-endpoint podczas importu repozytoriów, co może prowadzić do uzyskania pełnego dostępu do wewnętrznych usług.
ZITADEL to platforma zarządzania tożsamością typu open source. W wersjach od 4.0.0 do 4.11.1 odkryto podatność w interfejsie logowania V2, która umożliwiała potencjalne przejęcie konta poprzez XSS w punkcie końcowym /saml-post. Problem został naprawiony w wersji 4.12.0.
Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. W wersjach przed 3.0.13, router NVIDIA NIM (/api/v1/nvidia-nim/*) był dozwolony w globalnym middleware autoryzacyjnym, co umożliwiało nieautoryzowany dostęp do uprzywilejowanych punktów zarządzania kontenerami i generowania tokenów.
Flowise to interfejs typu drag & drop do budowy dostosowanego przepływu dużego modelu językowego. W wersjach przed 3.0.13, punkt końcowy /api/v1/attachments/:chatflowId/:chatId jest wymieniony w WHITELIST_URLS, co umożliwia nieautoryzowany dostęp do API przesyłania plików, pozwalając atakującym na przesyłanie złośliwych skryptów lub dowolnych plików.
Oprogramowanie układowe przełącznika sieciowego XikeStor SKS8310-8X w wersjach 1.04.B07 i wcześniejszych zawiera podatność na przewidywalny identyfikator sesji w punkcie końcowym /goform/SetLogin. Umożliwia to zdalnym atakującym przejęcie uwierzytelnionych sesji użytkowników.
Wersje oprogramowania układowego XikeStor SKS8310-8X Network Switch do 1.04.B07 zawierają podatność na wstrzykiwanie poleceń systemowych w punkcie końcowym /goform/PingTestSet. Umożliwia to nieautoryzowanym zdalnym atakującym wykonywanie dowolnych poleceń systemowych.
Vito to samodzielnie hostowana aplikacja webowa, która pomaga zarządzać serwerami i wdrażać aplikacje PHP na serwerach produkcyjnych. W wersjach przed 3.20.3 brakowało sprawdzenia autoryzacji w akcjach tworzenia witryn, co pozwalało uwierzytelnionemu atakującemu z dostępem do zapisu w jednym projekcie na tworzenie/zarządzanie witrynami na serwerach należących do innych projektów, poprzez podanie obcego server_id.
Immutable.js is vulnerable to Prototype Pollution via the mergeDeep(), mergeDeepWith(), merge(), Map.toJS(), and Map.toObject() APIs. The issue is fixed in versions 3.8.3, 4.3.7, and 5.1.5.
W Rocket.Chat, przed wersjami 7.10.8, 7.11.5, 7.12.5, 7.13.4, 8.0.2, 8.1.1 i 8.2.0, występowały luki w uwierzytelnianiu w usłudze DDP Streamer. Metoda Account.login nie wymuszała Uwierzytelniania Dwuskładnikowego (2FA) ani nie weryfikowała statusu konta użytkownika, co pozwalało na logowanie zdezaktualizowanych użytkowników.

