CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
openDCIM version 23.04 contains an OS command injection vulnerability in report_network_map.php. The application retrieves the 'dot' configuration parameter from the database and passes it directly to exec() without validation.
WeGIA to menedżer stron internetowych dla instytucji charytatywnych. Przed wersją 3.6.5, niebezpieczne użycie funkcji `extract()` na superglobalnej tablicy `$_REQUEST` pozwalało nieautoryzowanemu atakującemu na nadpisanie lokalnych zmiennych w wielu skryptach PHP.
WeGIA to menedżer internetowy dla instytucji charytatywnych. Przed wersją 3.6.5 występowała krytyczna podatność na zdalne wykonanie kodu (RCE) w funkcjonalności przywracania bazy danych aplikacji WeGIA, umożliwiająca atakującemu z dostępem administracyjnym wykonanie dowolnych poleceń systemowych na serwerze.
WeGIA to menedżer internetowy dla instytucji charytatywnych. W wersjach przed 3.6.5 skrypt w adicionar_tipo_docs_atendido.php nie przechodzi przez centralny kontroler projektu i nie ma własnych mechanizmów uwierzytelniania oraz kontroli uprawnień, co umożliwia złośliwym użytkownikom dostęp do funkcji zastrzeżonych dla pracowników.
Vikunja to platforma do zarządzania zadaniami, która ma podatność w mechanizmie resetowania haseł w wersjach przed 2.1.0. Występuje błąd logiki biznesowej, który pozwala na nieograniczone ponowne użycie tokenów resetujących hasło.
Biblioteka pillow_heif, używana do pracy z obrazami HEIF, zawiera błąd przepełnienia całkowitego w walidacji bufora, który pozwala atakującemu na ominięcie kontroli granic poprzez podanie dużych wymiarów obrazu. Może to prowadzić do ujawnienia informacji lub awarii procesu.
A vulnerability in @fastify/middie versions < 9.2.0 can result in authentication/authorization bypass when using path-scoped middleware. When Fastify router normalization options are enabled, crafted request paths may bypass middleware checks.
Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera słabą podatność na generowanie identyfikatorów sesji, co pozwala atakującym na fałszowanie uwierzytelnionych sesji poprzez obliczanie przewidywalnych ciasteczek opartych na MD5. Atakujący, którzy znają lub zgadują ważne dane logowania, mogą obliczyć identyfikator sesji offline i ominąć proces uwierzytelniania.
Oprogramowanie układowe SODOLA SL902-SWTGW124AS w wersjach do 200.1.20 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia zdalnym atakującym uzyskanie dostępu administracyjnego do interfejsu zarządzania. Atakujący mogą uwierzytelnić się za pomocą wbudowanych domyślnych danych bez wymogu zmiany hasła, co pozwala na pełną kontrolę administracyjną nad urządzeniem.
A NestJS application using @nestjs/platform-fastify may allow bypass of authentication/authorization middleware when Fastify path-normalization options are enabled. This vulnerability affects NestJS version 11.1.13.
Podatność CVE-2026-2750 dotyczy niewłaściwej walidacji danych wejściowych w module Centreon Open Tickets na Central Server w systemie Linux. Problem ten dotyczy wersji Centreon Open Tickets przed 25.10, 24.10 oraz 24.04.
Podatność w module Centreon Open Tickets na Centralnym Serwerze w systemie Linux. Problem dotyczy wersji przed 25.10.3, 24.10.8 oraz 24.04.7.
W podatności CVE-2025-11252 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji Windesk.Fm firmy Signum Technology Promotion and Training Inc. Problem dotyczy wersji przed 2.3.4.
PluXml CMS allows a user's session identifier to be set before authentication, enabling an attacker to hijack the session after authentication. The session ID remains unchanged after authentication, creating a risk of session takeover.
W podatności CVE-2025-11251 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w platformie e-commerce firmy Dayneks Software Industry and Trade Inc. Problem ten dotyczy platformy e-commerce do 27 lutego 2026 roku.
W wersji 10.22 i wcześniejszych oprogramowania Frick Controls Quantum HD występuje podatność związana z twardo zakodowanymi danymi logowania do e-maila, które są przechowywane w postaci niezaszyfrowanej. Może to prowadzić do nieautoryzowanego dostępu oraz ujawnienia wrażliwych informacji.
Podatność CVE-2026-21659 dotyczy braku uwierzytelnienia, co pozwala na zdalne wykonanie kodu oraz ujawnienie informacji poprzez lokalne włączenie pliku (LFI) w urządzeniach Johnson Controls Frick Controls Quantum HD. Atakujący bez uwierzytelnienia może wykonać dowolny kod na podatnym urządzeniu, co prowadzi do pełnego kompromitacji systemu.
Podatność CVE-2026-2251 dotyczy niewłaściwego ograniczenia ścieżki do zastrzeżonego katalogu w Xerox FreeFlow Core, co umożliwia nieautoryzowane przechodzenie przez ścieżki i prowadzi do zdalnego wykonania kodu (RCE). Problem ten dotyczy wersji Xerox FreeFlow Core do 8.0.7 włącznie.
Podatność CVE-2026-21658 dotyczy niewłaściwej kontroli generacji kodu w systemie Johnson Controls Frick Controls Quantum HD, co pozwala na zdalne wykonanie kodu bez uwierzytelnienia. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem uwierzytelnienia.
Podatność typu 'Code Injection' w systemie Johnson Controls Frick Controls Quantum HD pozwala na wstrzykiwanie kodu. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może prowadzić do nieoczekiwanych działań, które mogą wpłynąć na bezpieczeństwo urządzenia przed dokonaniem autoryzacji.

