CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność CVE-2026-21656 dotyczy niewłaściwej kontroli generowania kodu ('wstrzykiwanie kodu') w systemie Frick Controls Quantum HD firmy Johnson Controls. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może umożliwić nieoczekiwane działania, które mogą wpłynąć na bezpieczeństwo urządzenia przed wystąpieniem autoryzacji.
Podatność CVE-2026-21654 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego w urządzeniach Johnson Controls Frick Controls Quantum HD. Niedostateczna walidacja danych wejściowych w niektórych parametrach może umożliwić wykonanie nieoczekiwanych działań, co może wpłynąć na bezpieczeństwo urządzenia przed autoryzacją.
Motyw Listee dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z błędnego sprawdzenia walidacji w funkcji rejestracji użytkowników w wtyczce listee-core, która nieprawidłowo sanitizuje parametr user_role.
W urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305 odkryto lukę bezpieczeństwa w funkcji setWebWlanIdx pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem webWlanIdx prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
W parserze zapytań w OpenStack Vitrage przed wersjami 12.0.1, 13.0.0, 14.0.0 i 15.0.0, użytkownik mający dostęp do API Vitrage może wywołać wykonanie kodu na hoście usługi Vitrage jako użytkownik, pod którym działa ta usługa. Może to prowadzić do nieautoryzowanego dostępu do hosta i dalszego kompromitowania usługi Vitrage.
W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.
Podatność typu przepełnienie bufora na stosie w systemie ThinkWise firmy SimTech Systems, Inc. umożliwia zdalne włączenie kodu. Problem ten dotyczy wersji ThinkWise od 7 do 23.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
W wersji 1.12.1 i wcześniejszych XWEB Pro występuje podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu na systemie poprzez wysłanie spreparowanego żądania do trasy instalacji bibliotek i wstrzyknięcie złośliwego wejścia do ciała żądania.
W wersji 1.12.1 i wcześniejszych aplikacji Copeland XWEB Pro występuje luka umożliwiająca ominięcie wymagań dotyczących uwierzytelniania, co pozwala atakującym na wykonanie kodu przed uwierzytelnieniem na systemie.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.
Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.2.0, nieautoryzowany atakujący mógł nadpisać całą konfigurację infrastruktury samodzielnie hostowanej instancji Hoppscotch, w tym dane uwierzytelniające dostawców OAuth i ustawienia SMTP, wysyłając pojedyncze żądanie HTTP POST bez autoryzacji.
EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.
OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.
Oprogramowanie Unitree Go2 w wersjach 1.1.7 do 1.1.11, używane z aplikacją Android Unitree Go2, jest podatne na zdalne wykonanie kodu z powodu braku ochrony integralności i walidacji programów tworzonych przez użytkowników. Aplikacja przechowuje programy w lokalnej bazie danych SQLite i przesyła zawartość programu do robota, który wykonuje dostarczony kod Python bez weryfikacji.
ZenTaoPMS w wersjach od 18.11 do 21.6.beta jest podatny na atak typu Directory Traversal w pliku /module/ai/control.php. Umożliwia to atakującym wykonanie dowolnego kodu poprzez odpowiednio przygotowane przesłanie pliku.

