CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-59542
Critical

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript, co mogło prowadzić do przejęcia konta użytkowników o wyższych uprawnieniach.

CVE-2026-28710
Critical

Podatność CVE-2026-28710 dotyczy ujawnienia i manipulacji wrażliwymi informacjami z powodu niewłaściwej autoryzacji. Dotyczy to produktów Acronis Cyber Protect 17 (Linux, Windows) przed wersją 41186.

CVE-2026-22552
Critical

WebSocket endpoints lack proper authentication mechanisms, allowing attackers to impersonate stations and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known charging station identifier.

CVE-2026-21536
Critical

Podatność w programie cenowym urządzeń Microsoft umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.

CVE-2026-28474
Critical

OpenClaw's Nextcloud Talk plugin versions prior to 2026.2.6 accept equality matching on the mutable actor.name display name field for allowlist validation, allowing attackers to bypass DM and room allowlists.

CVE-2026-28470
Critical

Wersje OpenClaw przed 2026.2.2 zawierają podatność na obejście listy dozwolonych zatwierdzeń (exec approvals), która umożliwia atakującym wykonywanie dowolnych poleceń poprzez wstrzykiwanie składni substytucji poleceń. Atakujący mogą obejść ochronę listy dozwolonych, wstawiając nieescapowane $() lub backticks wewnątrz podwójnie cytowanych ciągów.

CVE-2026-28466
Critical

Wersje OpenClaw przed 2026.2.14 zawierają podatność w bramce, która nie oczyszcza wewnętrznych pól zatwierdzenia w parametrach node.invoke. Umożliwia to uwierzytelnionym klientom ominięcie zatwierdzenia wykonania dla poleceń system.run.

CVE-2026-28446
Critical

Wersje OpenClaw przed 2026.2.1 z zainstalowanym i włączonym rozszerzeniem do połączeń głosowych zawierają podatność na obejście uwierzytelniania w walidacji polityki dozwolonych numerów przychodzących. Atakujący mogą obejść kontrole dostępu, wykonując połączenia z brakującymi identyfikatorami dzwoniących lub numerami kończącymi się na dozwolone cyfry.

CVE-2026-28391
Critical

Wersje OpenClaw przed 2026.2.2 nieprawidłowo walidują metaznaki cmd.exe w żądaniach wykonania z listy dozwolonych, co pozwala atakującym na obejście ograniczeń zatwierdzania poleceń. Atakujący mogą skonstruować ciągi poleceń z metaznakami powłoki, aby wykonać niezatwierdzone polecenia poza dozwolonymi operacjami.

CVE-2026-21622
Critical

Podatność związana z niewystarczającym wygasaniem sesji w module 'Elixir.Hexpm.Accounts.PasswordReset' pozwala na przejęcie konta. Tokeny resetowania hasła generowane w procesie 'Resetuj swoje hasło' nie wygasają, co stwarza ryzyko ich wykorzystania przez atakujących.

CVE-2026-29188
Critical

File Browser przed wersją 2.61.1 zawierał lukę w kontroli dostępu w punkcie końcowym DELETE protokołu TUS, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami tylko do tworzenia na usuwanie dowolnych plików i katalogów w ich zakresie. Problem ten został naprawiony w wersji 2.61.1.

CVE-2026-28443
Critical

OpenReplay to zestaw do rejestrowania sesji, który można hostować samodzielnie. W wersjach przed 1.20.0 występowała podatność na wstrzykiwanie SQL w parametrze sort.field w punkcie końcowym POST /{projectId}/cards/search. Problem ten został naprawiony w wersji 1.20.0.

CVE-2026-0848
Critical

Wersje NLTK do 3.9.2 są podatne na wykonanie dowolnego kodu z powodu niewłaściwej walidacji wejścia w module StanfordSegmenter. Moduł ten dynamicznie ładuje zewnętrzne pliki .jar bez weryfikacji lub piaskownicy.

CVE-2025-70948
Critical

W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.

CVE-2025-55208
Critical

Chamilo to system zarządzania nauką. Wersje przed 1.11.34 mają podatność na Stored XSS poprzez niebezpieczne przesyłanie plików w 'Sieciach Społecznościowych', co pozwala użytkownikowi o niskich uprawnieniach na wykonanie dowolnego kodu w skrzynce odbiorczej administratora, umożliwiając przejęcie konta administratora.

CVE-2025-29165
Critical

An issue in D-Link DIR-1253 MESH V1.6.1684 allows an attacker to escalate privileges via the etc/shadow.sample component.

CVE-2026-27944
Critical

Nginx UI to interfejs webowy dla serwera Nginx. W wersjach przed 2.3.3, punkt końcowy /api/backup był dostępny bez uwierzytelnienia, co ujawniało klucze szyfrujące potrzebne do odszyfrowania kopii zapasowej w nagłówku odpowiedzi X-Backup-Security.

CVE-2026-25921
Critical

Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.

CVE-2026-24457
Critical

Niebezpieczne parsowanie konfiguracji OpenMQ umożliwia zdalnemu atakującemu odczyt dowolnych plików z serwera MQ Brokera. W pełni wykorzystana podatność może prowadzić do odczytu nieautoryzowanych plików systemu operacyjnego hosta OpenMQ.

CVE-2025-70233
Critical

W podatności CVE-2025-70233 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetEnableWizard.

PreviousPage 151 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS