CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.34 występowała podatność na przechowywane ataki XSS, która pozwalała atakującemu z niskimi uprawnieniami na wstrzyknięcie złośliwego kodu JavaScript, co mogło prowadzić do przejęcia konta użytkowników o wyższych uprawnieniach.
Podatność CVE-2026-28710 dotyczy ujawnienia i manipulacji wrażliwymi informacjami z powodu niewłaściwej autoryzacji. Dotyczy to produktów Acronis Cyber Protect 17 (Linux, Windows) przed wersją 41186.
WebSocket endpoints lack proper authentication mechanisms, allowing attackers to impersonate stations and manipulate data sent to the backend. An unauthenticated attacker can connect to the OCPP WebSocket endpoint using a known charging station identifier.
Podatność w programie cenowym urządzeń Microsoft umożliwia zdalne wykonanie kodu. Atakujący może wykorzystać tę lukę, aby przejąć kontrolę nad systemem.
OpenClaw's Nextcloud Talk plugin versions prior to 2026.2.6 accept equality matching on the mutable actor.name display name field for allowlist validation, allowing attackers to bypass DM and room allowlists.
Wersje OpenClaw przed 2026.2.2 zawierają podatność na obejście listy dozwolonych zatwierdzeń (exec approvals), która umożliwia atakującym wykonywanie dowolnych poleceń poprzez wstrzykiwanie składni substytucji poleceń. Atakujący mogą obejść ochronę listy dozwolonych, wstawiając nieescapowane $() lub backticks wewnątrz podwójnie cytowanych ciągów.
Wersje OpenClaw przed 2026.2.14 zawierają podatność w bramce, która nie oczyszcza wewnętrznych pól zatwierdzenia w parametrach node.invoke. Umożliwia to uwierzytelnionym klientom ominięcie zatwierdzenia wykonania dla poleceń system.run.
Wersje OpenClaw przed 2026.2.1 z zainstalowanym i włączonym rozszerzeniem do połączeń głosowych zawierają podatność na obejście uwierzytelniania w walidacji polityki dozwolonych numerów przychodzących. Atakujący mogą obejść kontrole dostępu, wykonując połączenia z brakującymi identyfikatorami dzwoniących lub numerami kończącymi się na dozwolone cyfry.
Wersje OpenClaw przed 2026.2.2 nieprawidłowo walidują metaznaki cmd.exe w żądaniach wykonania z listy dozwolonych, co pozwala atakującym na obejście ograniczeń zatwierdzania poleceń. Atakujący mogą skonstruować ciągi poleceń z metaznakami powłoki, aby wykonać niezatwierdzone polecenia poza dozwolonymi operacjami.
Podatność związana z niewystarczającym wygasaniem sesji w module 'Elixir.Hexpm.Accounts.PasswordReset' pozwala na przejęcie konta. Tokeny resetowania hasła generowane w procesie 'Resetuj swoje hasło' nie wygasają, co stwarza ryzyko ich wykorzystania przez atakujących.
File Browser przed wersją 2.61.1 zawierał lukę w kontroli dostępu w punkcie końcowym DELETE protokołu TUS, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami tylko do tworzenia na usuwanie dowolnych plików i katalogów w ich zakresie. Problem ten został naprawiony w wersji 2.61.1.
OpenReplay to zestaw do rejestrowania sesji, który można hostować samodzielnie. W wersjach przed 1.20.0 występowała podatność na wstrzykiwanie SQL w parametrze sort.field w punkcie końcowym POST /{projectId}/cards/search. Problem ten został naprawiony w wersji 1.20.0.
Wersje NLTK do 3.9.2 są podatne na wykonanie dowolnego kodu z powodu niewłaściwej walidacji wejścia w module StanfordSegmenter. Moduł ten dynamicznie ładuje zewnętrzne pliki .jar bez weryfikacji lub piaskownicy.
W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.
Chamilo to system zarządzania nauką. Wersje przed 1.11.34 mają podatność na Stored XSS poprzez niebezpieczne przesyłanie plików w 'Sieciach Społecznościowych', co pozwala użytkownikowi o niskich uprawnieniach na wykonanie dowolnego kodu w skrzynce odbiorczej administratora, umożliwiając przejęcie konta administratora.
An issue in D-Link DIR-1253 MESH V1.6.1684 allows an attacker to escalate privileges via the etc/shadow.sample component.
Nginx UI to interfejs webowy dla serwera Nginx. W wersjach przed 2.3.3, punkt końcowy /api/backup był dostępny bez uwierzytelnienia, co ujawniało klucze szyfrujące potrzebne do odszyfrowania kopii zapasowej w nagłówku odpowiedzi X-Backup-Security.
Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.
Niebezpieczne parsowanie konfiguracji OpenMQ umożliwia zdalnemu atakującemu odczyt dowolnych plików z serwera MQ Brokera. W pełni wykorzystana podatność może prowadzić do odczytu nieautoryzowanych plików systemu operacyjnego hosta OpenMQ.
W podatności CVE-2025-70233 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetEnableWizard.

