CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-28517
Critical

openDCIM version 23.04 contains an OS command injection vulnerability in report_network_map.php. The application retrieves the 'dot' configuration parameter from the database and passes it directly to exec() without validation.

CVE-2026-28411
Critical

WeGIA to menedżer stron internetowych dla instytucji charytatywnych. Przed wersją 3.6.5, niebezpieczne użycie funkcji `extract()` na superglobalnej tablicy `$_REQUEST` pozwalało nieautoryzowanemu atakującemu na nadpisanie lokalnych zmiennych w wielu skryptach PHP.

CVE-2026-28409
Critical

WeGIA to menedżer internetowy dla instytucji charytatywnych. Przed wersją 3.6.5 występowała krytyczna podatność na zdalne wykonanie kodu (RCE) w funkcjonalności przywracania bazy danych aplikacji WeGIA, umożliwiająca atakującemu z dostępem administracyjnym wykonanie dowolnych poleceń systemowych na serwerze.

CVE-2026-28408
Critical

WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach przed 3.6.5 skrypt w adicionar_tipo_docs_atendido.php nie przechodzi przez centralny kontroler projektu i nie ma własnych mechanizmów uwierzytelniania oraz kontroli uprawnień, co umożliwia złośliwym użytkownikom dostęp do funkcji zastrzeżonych dla pracowników.

CVE-2026-28268
Critical

Vikunja to platforma do zarządzania zadaniami, która ma podatność w mechanizmie resetowania haseł w wersjach przed 2.1.0. Występuje błąd logiki biznesowej, który pozwala na nieograniczone ponowne użycie tokenów resetujących hasło.

CVE-2026-28231
Critical

Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.

CVE-2026-2880
Critical

A vulnerability in @fastify/middie versions < 9.2.0 can result in authentication/authorization bypass when using path-scoped middleware. When Fastify router normalization options are enabled, crafted request paths may bypass middleware checks.

CVE-2026-27755
Critical

Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera słabą podatność na generowanie identyfikatorów sesji, co pozwala atakującym na fałszowanie uwierzytelnionych sesji poprzez obliczanie przewidywalnych ciasteczek opartych na MD5. Atakujący, którzy znają lub zgadują ważne dane logowania, mogą obliczyć identyfikator sesji offline i ominąć proces uwierzytelniania.

CVE-2026-27751
Critical

Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia zdalnym atakującym uzyskanie dostępu administracyjnego do interfejsu zarządzania. Atakujący mogą uwierzytelnić się za pomocą wbudowanych domyślnych danych bez wymogu zmiany hasła, co pozwala na pełną kontrolę administracyjną nad urządzeniem.

CVE-2026-2293
Critical

A NestJS application using @nestjs/platform-fastify may allow bypass of authentication/authorization middleware when Fastify path-normalization options are enabled. This vulnerability affects NestJS version 11.1.13.

CVE-2026-2750
Critical

Podatność CVE-2026-2750 dotyczy niewłaściwej walidacji danych wejściowych w module Centreon Open Tickets na Central Server w systemie Linux. Problem ten dotyczy wersji Centreon Open Tickets przed 25.10, 24.10 oraz 24.04.

CVE-2026-2749
Critical

Podatność w module Centreon Open Tickets na Centralnym Serwerze w systemie Linux. Problem dotyczy wersji przed 25.10.3, 24.10.8 oraz 24.04.7.

CVE-2025-11252
Critical

W podatności CVE-2025-11252 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Windesk.Fm firmy Signum Technology Promotion and Training Inc. Problem dotyczy wersji przed 2.3.4.

CVE-2026-24352
Critical

PluXml CMS allows a user's session identifier to be set before authentication, enabling an attacker to hijack the session after authentication. The session ID remains unchanged after authentication, creating a risk of session takeover.

CVE-2025-11251
Critical

W podatności CVE-2025-11251 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w platformie e-commerce firmy Dayneks Software Industry and Trade Inc. Problem ten dotyczy platformy e-commerce do 27 lutego 2026 roku.

CVE-2026-21660
Critical

W wersji 10.22 i wcześniejszych oprogramowania Frick Controls Quantum HD występuje podatność związana z twardo zakodowanymi danymi logowania do e-maila, które są przechowywane w postaci niezaszyfrowanej. Może to prowadzić do nieautoryzowanego dostępu oraz ujawnienia wrażliwych informacji.

CVE-2026-21659
Critical

Podatność CVE-2026-21659 dotyczy braku uwierzytelnienia, co pozwala na zdalne wykonanie kodu oraz ujawnienie informacji poprzez lokalne włączenie pliku (LFI) w urządzeniach Johnson Controls Frick Controls Quantum HD. Atakujący bez uwierzytelnienia może wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnego kompromitacji systemu.

CVE-2026-2251
Critical

Podatność CVE-2026-2251 dotyczy niewłaściwego ograniczenia ścieżki do zastrzeżonego katalogu w Xerox FreeFlow Core, co umożliwia nieautoryzowane przechodzenie przez ścieżki i prowadzi do zdalnego wykonania kodu (RCE). Problem ten dotyczy wersji Xerox FreeFlow Core do 8.0.7 włącznie.

CVE-2026-21658
Critical

Podatność CVE-2026-21658 dotyczy niewłaściwej kontroli generacji kodu w systemie Johnson Controls Frick Controls Quantum HD, co pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem uwierzytelnienia.

CVE-2026-21657
Critical

Podatność typu 'Code Injection' w systemie Johnson Controls Frick Controls Quantum HD pozwala na wstrzykiwanie kodu. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem autoryzacji.

PreviousPage 160 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS