CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W Rocket.Chat, przed wersjami 7.8.6, 7.9.8, 7.10.7, 7.11.4, 7.12.4, 7.13.3 i 8.0.0, występuje krytyczna podatność na obejście uwierzytelniania w usłudze konta, która pozwala atakującemu zalogować się jako dowolny użytkownik z ustawionym hasłem, używając dowolnego hasła. Problem wynika z braku słowa kluczowego await przy wywoływaniu asynchronicznej funkcji walidacji hasła.
WebSocket endpoints lack proper authentication mechanisms, enabling attackers to perform unauthorized station impersonation and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known or discovered charging station identifier.
WebSocket endpoints lack proper authentication mechanisms, enabling attackers to impersonate stations and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known charging station identifier and issue or receive OCPP commands as a legitimate charger.
Atakujący może przeprowadzać nieautoryzowane operacje odczytu i zapisu w wrażliwych obszarach systemu plików za pomocą AppEngine Fileaccess przez HTTP z powodu niewłaściwych ograniczeń dostępu. Krytyczny katalog systemu plików został niezamierzenie ujawniony przez funkcję dostępu do plików opartą na HTTP, co umożliwia dostęp bez uwierzytelnienia.
Atakujący może uzyskać dostęp do zastrzeżonych obszarów systemu plików na urządzeniu za pośrednictwem interfejsu CROWN REST z powodu niekompletnego egzekwowania białej listy. Niektóre katalogi przeznaczone do testów wewnętrznych nie były objęte białą listą i są dostępne bez uwierzytelnienia.
SiYuan to system zarządzania wiedzą osobistą. Przed wersją 3.5.9 występowała podatność na refleksyjny XSS w punkcie końcowym API dynamicznych ikon 'GET /api/icon/getDynamicIcon', gdy type=8, co pozwalało na wstrzyknięcie kontrolowanej przez atakującego treści do wyjścia SVG bez odpowiedniego zabezpieczenia.
changedetection.io to darmowe narzędzie open source do wykrywania zmian na stronach internetowych. Przed wersją 0.54.4 istniała podatność Zip Slip w funkcjonalności przywracania kopii zapasowych, która pozwalała na nadpisywanie dowolnych plików poprzez przejście ścieżki w przesyłanych archiwach ZIP.
AVideo to oprogramowanie platformy do udostępniania wideo. Przed wersją 7.0, nieautoryzowany atakujący mógł wykonać dowolne polecenia systemowe na serwerze poprzez wstrzyknięcie substytucji polecenia powłoki do parametru GET base64Url. Może to prowadzić do pełnego kompromitacji serwera, wycieku danych oraz zakłócenia usług.
Nuclio to framework 'Serverless' do przetwarzania zdarzeń i danych w czasie rzeczywistym. W wersjach przed 1.15.20 komponent Nuclio Shell Runtime zawierał podatność na wstrzyknięcie poleceń, ponieważ przetwarzał argumenty dostarczane przez użytkownika bez walidacji lub sanitizacji.
Authlib library versions 1.6.5 to 1.6.6 incorrectly validate JWT tokens with 'alg: none' and an empty signature, passing them despite an expected failure. The vulnerability is fixed in version 1.6.7.
OpenChatBI to inteligentne narzędzie BI oparte na czacie, które umożliwia użytkownikom zadawanie pytań, analizowanie i wizualizowanie danych za pomocą naturalnych rozmów. Przed wersją 0.2.2 narzędzie save_report w pliku openchatbi/tool/save_report.py ma krytyczną podatność na przejście ścieżki z powodu niewystarczającej sanitacji wejścia parametru file_format.
CocoIndex to framework do transformacji danych dla AI. Przed wersją 0.3.34, konektor docelowy Doris nie weryfikował skonfigurowanej nazwy tabeli przed tworzeniem niektórych instrukcji SQL (ALTER TABLE), co prowadziło do podatności na wstrzykiwanie SQL, jeśli nazwa tabeli była dostarczana przez niezaufane źródło.
Wtyczka PowerPack dla LearnDash w WordPressie przed wersją 1.3.0 nie posiada kontroli autoryzacji oraz zabezpieczeń przed atakami CSRF w akcji AJAX, co umożliwia nieautoryzowanym użytkownikom aktualizację dowolnych opcji WordPressa (np. default_role) oraz tworzenie dowolnych użytkowników z uprawnieniami administratora.
W narzędziu oRPC, które służy do budowy API zgodnych z OpenAPI, przed wersją 1.13.6 występowała podatność na zanieczyszczenie prototypu w deserializerze JSON RPC pakietu @orpc/client. Ta podatność pozwalała nieautoryzowanym, zdalnym atakującym na wstrzykiwanie dowolnych właściwości do globalnego Object.prototype.
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.244.0, omijając walidację symboli, atakujący mógł wykonać dowolne polecenia SQL za pomocą metody getHistorical(), co potencjalnie pozwalało na odczyt, modyfikację lub usunięcie wrażliwych danych finansowych wszystkich użytkowników w bazie danych.
Ghostfolio to oprogramowanie do zarządzania majątkiem typu open source. Przed wersją 2.245.0, atakujący mógł wykorzystać funkcję ręcznego importu aktywów do przeprowadzenia pełnego odczytu SSRF, co pozwalało na eksfiltrację wrażliwych metadanych chmurowych (IMDS) lub skanowanie wewnętrznych usług sieciowych.
Chartbrew to aplikacja webowa typu open-source, która może łączyć się bezpośrednio z bazami danych i API, wykorzystując dane do tworzenia wykresów. Przed wersją 4.8.3, nieautoryzowany atakujący mógł wstrzyknąć dowolne zapytanie SQL do zapytań wykonywanych na bazach danych połączonych z Chartbrew (MySQL, PostgreSQL).
AVideo to otwartoźródłowa platforma wideo, która przed wersją 24.0 zawierała podatność na SQL Injection w komponentach objects/videos.json.php oraz objects/video.php. Problem wynika z niewłaściwego oczyszczania parametru catName w przypadku, gdy jest on dostarczany w formacie JSON w ciele żądania POST.
TinyWeb to serwer WWW (HTTP, HTTPS) napisany w Delphi dla Win32. Przed wersją 2.03 występuje podatność na przepełnienie całkowitej liczby w procedurze konwersji ciągu na liczbę (_Val), co pozwala nieautoryzowanemu zdalnemu atakującemu na obejście ograniczeń Content-Length i przeprowadzenie ataku HTTP Request Smuggling.
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript do opisu kursu, co umożliwiało wykonanie tego kodu w kontekście innych użytkowników, w tym administratorów.

