CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-21656
Critical

Podatność CVE-2026-21656 dotyczy niewłaściwej kontroli generowania kodu ('wstrzykiwanie kodu') w systemie Frick Controls Quantum HD firmy Johnson Controls. Niewystarczająca walidacja danych wejściowych w niektórych parametrach może umożliwić nieoczekiwane działania, które mogą wpłynąć na bezpieczeństwo urządzenia przed wystąpieniem autoryzacji.

CVE-2026-21654
Critical

Podatność CVE-2026-21654 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach systemu operacyjnego w urządzeniach Johnson Controls Frick Controls Quantum HD. Niedostateczna walidacja danych wejściowych w niektórych parametrach może umożliwić wykonanie nieoczekiwanych działań, co może wpłynąć na bezpieczeństwo urządzenia przed autoryzacją.

CVE-2025-12981
Critical

Motyw Listee dla WordPressa jest podatny na eskalację uprawnień we wszystkich wersjach do 1.1.6 włącznie. Problem wynika z błędnego sprawdzenia walidacji w funkcji rejestracji użytkowników w wtyczce listee-core, która nieprawidłowo sanitizuje parametr user_role.

CVE-2026-3301
Critical

W urządzeniu Totolink N300RH w wersji 6.1c.1353_B20190305 odkryto lukę bezpieczeństwa w funkcji setWebWlanIdx pliku /cgi-bin/cstecgi.cgi w interfejsie zarządzania przez sieć. Manipulacja argumentem webWlanIdx prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-28370
Critical

W parserze zapytań w OpenStack Vitrage przed wersjami 12.0.1, 13.0.0, 14.0.0 i 15.0.0, użytkownik mający dostęp do API Vitrage może wywołać wykonanie kodu na hoście usługi Vitrage jako użytkownik, pod którym działa ta usługa. Może to prowadzić do nieautoryzowanego dostępu do hosta i dalszego kompromitowania usługi Vitrage.

CVE-2026-28363
Critical

W OpenClaw przed wersją 2026.2.23 walidacja tools.exec.safeBins dla sortowania mogła być obejściem za pomocą skrótów opcji długich GNU (takich jak --compress-prog) w trybie listy dozwolonej, co prowadziło do ścieżek wykonawczych, które miały wymagać zatwierdzenia. Tylko dokładny ciąg, taki jak --compress-program, był odrzucany.

CVE-2026-24497
Critical

Podatność typu przepełnienie bufora na stosie w systemie ThinkWise firmy SimTech Systems, Inc. umożliwia zdalne włączenie kodu. Problem ten dotyczy wersji ThinkWise od 7 do 23.

CVE-2026-27028
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-24663
Critical

W wersji 1.12.1 i wcześniejszych XWEB Pro występuje podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanemu atakującemu zdalne wykonanie kodu na systemie poprzez wysłanie spreparowanego żądania do trasy instalacji bibliotek i wstrzyknięcie złośliwego wejścia do ciała żądania.

CVE-2026-21718
Critical

W wersji 1.12.1 i wcześniejszych aplikacji Copeland XWEB Pro występuje luka umożliwiająca ominięcie wymagań dotyczących uwierzytelniania, co pozwala atakującym na wykonanie kodu przed uwierzytelnieniem na systemie.

CVE-2026-27772
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-27767
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-25851
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania.

CVE-2026-24731
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do backendu. Atakujący bez uwierzytelnienia może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-20781
Critical

Punkty końcowe WebSocket nie mają odpowiednich mechanizmów uwierzytelniania, co umożliwia atakującym podszywanie się pod stacje i manipulowanie danymi wysyłanymi do zaplecza. Nieautoryzowany atakujący może połączyć się z punktem końcowym OCPP WebSocket, używając znanego lub odkrytego identyfikatora stacji ładowania, a następnie wydawać lub odbierać polecenia OCPP jako legalna ładowarka.

CVE-2026-28215
Critical

Hoppscotch to otwarte środowisko do tworzenia API. Przed wersją 2026.2.0, nieautoryzowany atakujący mógł nadpisać całą konfigurację infrastruktury samodzielnie hostowanej instancji Hoppscotch, w tym dane uwierzytelniające dostawców OAuth i ustawienia SMTP, wysyłając pojedyncze żądanie HTTP POST bez autoryzacji.

CVE-2026-28213
Critical

EverShop to platforma eCommerce oparta na TypeScript. W wersjach przed 2.1.1 występuje podatność w funkcji 'Zapomniałeś hasła', która zwraca token resetowania hasła w odpowiedzi API, gdy podany jest adres e-mail. To umożliwia atakującemu przejęcie powiązanego konta.

CVE-2026-22207
Critical

OpenViking w wersjach do 0.1.18, przed commit 0251c70, zawiera lukę w kontroli dostępu, która pozwala nieautoryzowanym atakującym uzyskać uprawnienia ROOT, gdy konfiguracja root_api_key jest pominięta. Atakujący mogą wysyłać żądania do chronionych punktów końcowych bez nagłówków uwierzytelniających, aby uzyskać dostęp do funkcji administracyjnych, w tym zarządzania kontami, operacji na zasobach i konfiguracji systemu.

CVE-2026-27510
Critical

Oprogramowanie Unitree Go2 w wersjach 1.1.7 do 1.1.11, używane z aplikacją Android Unitree Go2, jest podatne na zdalne wykonanie kodu z powodu braku ochrony integralności i walidacji programów tworzonych przez użytkowników. Aplikacja przechowuje programy w lokalnej bazie danych SQLite i przesyła zawartość programu do robota, który wykonuje dostarczony kod Python bez weryfikacji.

CVE-2025-50857
Critical

ZenTaoPMS w wersjach od 18.11 do 21.6.beta jest podatny na atak typu Directory Traversal w pliku /module/ai/control.php. Umożliwia to atakującym wykonanie dowolnego kodu poprzez odpowiednio przygotowane przesłanie pliku.

PreviousPage 161 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS