CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-28777
Critical

Odbiornik satelitarny SFX2100 firmy International Datacasting Corporation (IDC) posiada trywialne hasło dla konta `user` (usr). Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu SSH do systemu.

CVE-2026-28776
Critical

Odbiornik satelitarny SuperFlex serii SFX firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane dane logowania dla konta `monitor`. Zdalny, nieautoryzowany atakujący może wykorzystać te proste, nieudokumentowane dane logowania do uzyskania dostępu do systemu przez SSH.

CVE-2026-28775
Critical

W usłudze SNMP w odbiorniku satelitarnym SFX Series SuperFlex firmy International Datacasting Corporation (IDC) występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Domyślnie, usługa ta niebezpiecznie udostępnia `private` ciąg społeczności SNMP z dostępem do odczytu i zapisu, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych z uprawnieniami roota.

CVE-2026-3266
Critical

W podatności CVE-2026-3266 w OpenText™ Filr występuje brak autoryzacji, co umożliwia obejście uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom uzyskanie tokena XSRF i wykonywanie zdalnych wywołań procedur (RPC) za pomocą starannie przygotowanych programów.

CVE-2026-28289
Critical

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach FreeScout 1.8.206 i wcześniejszych występuje luka umożliwiająca zdalne wykonanie kodu (RCE) poprzez przesłanie złośliwego pliku .htaccess z prefiksem znaku zerowej szerokości, co omija zabezpieczenia.

CVE-2026-27971
Critical

Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.

CVE-2026-26279
Critical

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.

CVE-2026-26266
Critical

W menedżerze haseł AliasVault zidentyfikowano podatność typu XSS w funkcji renderowania e-maili w wersjach 0.25.3 i niższych. Atakujący może wysłać spreparowany e-mail z złośliwym skryptem JavaScript, który zostanie wykonany w kontekście aplikacji, gdy ofiara wyświetli ten e-mail.

CVE-2026-3224
Critical

W Devolutions Server 2025.3.15.0 i wcześniejszych wersjach występuje luka w autoryzacji, która pozwala nieautoryzowanemu użytkownikowi na uwierzytelnienie się jako dowolny użytkownik Entra ID za pomocą sfałszowanego tokena JWT.

CVE-2026-3204
Critical

Nieprawidłowa walidacja danych wejściowych na stronie komunikatów o błędach w Devolutions Server 2025.3.16 i wcześniejszych wersjach umożliwia zdalnym atakującym fałszowanie wyświetlanego komunikatu o błędzie za pomocą specjalnie przygotowanego URL.

CVE-2026-3130
Critical

W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.

CVE-2026-2590
Critical

In Devolutions Remote Desktop Manager 2025.3.30 and earlier, there is improper enforcement of the Disable password saving in vaults setting. This allows an authenticated user to persist credentials in vault entries, potentially exposing sensitive information to other users.

CVE-2026-27012
Critical

W OpenSTAManager w wersji 2.9.8 i wcześniejszych występuje podatność na eskalację uprawnień oraz obejście uwierzytelniania, która pozwala atakującemu na dowolną zmianę grupy użytkownika (idgruppo) poprzez bezpośrednie wywołanie modules/utenti/actions.php. Może to prowadzić do awansu konta (np. agenta) do grupy Amministratori oraz degradacji dowolnego użytkownika, w tym istniejących administratorów.

CVE-2026-25146
Critical

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach od 5.0.2 do przed 8.0.0 istnieją co najmniej dwie ścieżki, w których tajny klucz gateway_api_key jest ujawniany klientowi w postaci niezaszyfrowanej.

CVE-2026-24898
Critical

OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Przed wersją 8.0.0 istniała podatność na ujawnienie tokenów w punkcie końcowym MedEx, która pozwalała nieautoryzowanym użytkownikom na uzyskanie tokenów API, co prowadziło do poważnych naruszeń bezpieczeństwa.

CVE-2026-24848
Critical

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach 7.0.4 i wcześniejszych, metoda disposeDocument() w pliku EtherFaxActions.php pozwala uwierzytelnionym użytkownikom na zapis dowolnej treści w dowolnych lokalizacjach systemu plików serwera, co może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2026-3485
Critical

W urządzeniu D-Link DIR-868L w wersji 110b03 znaleziono lukę, która dotyczy funkcji sub_1BF84 w usłudze SSDP. Manipulacja argumentem ST może prowadzić do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2025-70240
Critical

W podatności CVE-2025-70240 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard51.

CVE-2025-70239
Critical

W podatności CVE-2025-70239 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard55.

CVE-2025-70234
Critical

W podatności CVE-2025-70234 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetQoS.

PreviousPage 154 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS