CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26696
Critical

System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/recordteacher_edit.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-26695
Critical

System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/recordstudent_edit.php. Atakujący może wykorzystać tę lukę do nieautoryzowanego dostępu do bazy danych.

CVE-2026-26694
Critical

System Simple Student Alumni w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /TracerStudy/modal_view.php. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.

CVE-2026-24115
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiarów `gstup` i `gstdwn` przed ich konkatenacją do `gstruleQos`, co może prowadzić do przepełnienia bufora.

CVE-2026-24114
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji `pPortMapIndex`, co może prowadzić do przepełnienia bufora podczas używania funkcji `strcpy`.

CVE-2026-24113
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z możliwością przepełnienia bufora. Atakujący mogą wykorzystać tę podatność, kontrolując wartość `nptr`, która jest przekazywana do funkcji `getMibPrefix` i łączona za pomocą `sprintf` bez odpowiedniej walidacji rozmiaru.

CVE-2026-24111
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiaru przy przetwarzaniu wartości `userInfo` w funkcji `addAuthUser`. Może to prowadzić do przepełnienia bufora.

CVE-2026-24109
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji rozmiarów zmiennych w funkcji `sprintf`, co może prowadzić do przepełnienia bufora. Atakujący mogą wykorzystać tę podatność, kontrolując wartość `picName`.

CVE-2026-24108
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem, który może być wykorzystany przez atakujących do kontrolowania wartości `nptr`. Gdy ta wartość jest przekazywana do funkcji `getMibPrefix` i łączona za pomocą `sprintf` bez odpowiedniej walidacji rozmiaru, może to prowadzić do podatności na przepełnienie bufora.

CVE-2026-24107
Critical

W urządzeniu Tenda W20E V4.0br_V15.11.0.6 odkryto problem związany z brakiem walidacji wartości `usbPartitionName`, która jest bezpośrednio używana w `doSystemCmd`. Może to prowadzić do krytycznych podatności na wstrzykiwanie poleceń.

CVE-2025-50192
Critical

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 występowała podatność na atak typu SQL Injection oparty na czasie w pliku /main/webservices/registration.soap.php. Problem ten został naprawiony w wersji 1.11.30.

CVE-2025-50190
Critical

Chamilo to system zarządzania nauczaniem. Przed wersją 1.11.30 występował błąd umożliwiający atak typu SQL Injection poprzez parametr GET openid.assoc_handle w skrypcie /index.php. Problem został naprawiony w wersji 1.11.30.

CVE-2025-50187
Critical

Chamilo to system zarządzania nauczaniem. W wersjach przed 1.11.28 parametr z żądania SOAP jest oceniany bez filtrowania, co prowadzi do możliwości zdalnego wykonania kodu. Problem został naprawiony w wersji 1.11.28.

CVE-2026-3432
Critical

W wersjach SimStudio poniżej 0.5.74, punkt końcowy `/api/auth/oauth/token` zawiera ścieżkę kodu, która omija wszystkie kontrole autoryzacji przy podaniu parametrów `credentialAccountUserId` i `providerId`. Nieautoryzowany atakujący może uzyskać tokeny dostępu OAuth dla dowolnego użytkownika, podając jego identyfikator użytkownika i nazwę dostawcy.

CVE-2026-3431
Critical

W wersjach SimStudio poniżej 0.5.74, punkty końcowe narzędzia MongoDB akceptują dowolne parametry połączenia od wywołującego bez uwierzytelnienia lub ograniczeń dotyczących hosta. Atakujący może wykorzystać te punkty końcowe do połączenia się z dowolną dostępną instancją MongoDB i przeprowadzenia nieautoryzowanych operacji, w tym odczytu, modyfikacji i usuwania danych.

CVE-2025-14532
Critical

Funkcjonalność przesyłania plików w DobryCMS pozwala nieautoryzowanemu zdalnemu atakującemu na przesyłanie plików dowolnego typu i rozszerzenia bez żadnych ograniczeń, co może prowadzić do zdalnego wykonania kodu.

CVE-2026-2584
Critical

A critical SQL Injection vulnerability has been identified in the authentication module of the system. An unauthenticated, remote attacker can exploit this flaw by sending specially crafted SQL queries through the login interface.

CVE-2026-3422
Critical

U-Office Force opracowane przez e-Excellence zawiera podatność na niebezpieczną deserializację, która umożliwia nieautoryzowanym zdalnym atakującym wykonanie dowolnego kodu na serwerze poprzez wysyłanie złośliwie skonstruowanej zawartości serializowanej.

CVE-2026-3000
Critical

Agent logowania Windows IDExpert opracowany przez Changing zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym zdalnym atakującym na wymuszenie pobrania dowolnych plików DLL z zdalnego źródła i ich wykonanie.

CVE-2026-2999
Critical

Agent logowania Windows IDExpert opracowany przez Changing zawiera podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym zdalnym atakującym na wymuszenie pobrania i wykonania dowolnych plików wykonywalnych z zdalnego źródła.

PreviousPage 159 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS