CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2024-58041
Critical

Wersje Smolder do 1.51 dla Perla wykorzystują niebezpieczną funkcję rand() jako domyślne źródło entropii dla funkcji kryptograficznych. Funkcja ta nie jest bezpieczna kryptograficznie, co może prowadzić do osłabienia zabezpieczeń aplikacji.

CVE-2026-3062
Critical

W Google Chrome na Mac przed wersją 145.0.7632.116 wystąpiła podatność umożliwiająca zdalnemu atakującemu wykonanie odczytu i zapisu poza przydzielonym obszarem pamięci poprzez spreparowaną stronę HTML.

CVE-2026-3061
Critical

W Google Chrome przed wersją 145.0.7632.116 występowała podatność na odczyt pamięci poza przydzielonym zakresem, która pozwalała zdalnemu atakującemu na wykonanie odczytu pamięci poza zakresem za pomocą spreparowanej strony HTML.

CVE-2026-23693
Critical

Wtyczka ElementsKit Elementor Addons w wersjach przed 3.7.9 udostępnia punkt końcowy REST /wp-json/elementskit/v1/widget/mailchimp/subscribe bez wymogu uwierzytelnienia. Punkt końcowy akceptuje dane uwierzytelniające API Mailchimp dostarczone przez klienta i niewystarczająco waliduje niektóre parametry, co może prowadzić do nieautoryzowanych działań.

CVE-2025-70327
Critical

TOTOLINK X5000R w wersji v9.1.0cu_2415_B20250515 zawiera podatność na wstrzykiwanie argumentów w handlerze setDiagnosisCfg w wykonywalnym pliku /usr/sbin/lighttpd. Parametr ip jest pobierany przez websGetVar i przekazywany do polecenia ping bez walidacji, co pozwala na wstrzykiwanie dowolnych opcji wiersza poleceń.

CVE-2025-70043
Critical

W aplikacji Ayms node-To master odkryto problem związany z niewłaściwą walidacją certyfikatów (CWE-295). Aplikacja wyłącza walidację certyfikatów TLS/SSL, ustawiając 'rejectUnauthorized': false w opcjach gniazda TLS.

CVE-2026-23552
Critical

W komponentach Keycloak Apache Camel występuje luka, która pozwala na obejście walidacji roszczenia iss (issuer) w tokenach JWT. Token wydany przez jeden realm Keycloak jest akceptowany przez politykę skonfigurowaną dla zupełnie innego realm, co narusza izolację najemców.

CVE-2026-24494
Critical

Podatność SQL Injection w punkcie końcowym /api/integrations/getintegrations systemu zamówień Order Up Online Ordering System w wersji 1.0 pozwala nieautoryzowanemu atakującemu na dostęp do wrażliwych danych bazy danych backendu poprzez spreparowany parametr store_id w żądaniu POST.

CVE-2026-2588
Critical

Wersje Crypt::NaCl::Sodium do 2.001 dla Perla mają wadę przepełnienia całkowitego na systemach 32-bitowych. Problem występuje podczas rzutowania STRLEN (size_t) na unsigned long long przy przekazywaniu wskaźnika długości do funkcji libsodium.

CVE-2019-25459
Critical

Web Ofisi Emlak V2 zawiera wiele podatności na wstrzykiwanie SQL w punkcie końcowym, które pozwalają nieautoryzowanym atakującym manipulować zapytaniami do bazy danych za pomocą parametrów GET. Atakujący mogą wstrzykiwać kod SQL do parametrów takich jak emlak_durumu, emlak_tipi, il, ilce, kelime i semt, aby wydobyć wrażliwe informacje z bazy danych lub przeprowadzać ataki typu blind SQL injection oparte na czasie.

CVE-2019-25458
Critical

Web Ofisi Firma Rehberi v1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametrów GET. Atakujący mogą wysyłać złośliwe ładunki w parametrach 'il', 'kat' lub 'kelime', aby wydobywać wrażliwe informacje z bazy danych lub przeprowadzać ataki typu blind SQL injection oparte na czasie.

CVE-2019-25456
Critical

Web Ofisi Emlak v2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru GET 'ara'. Atakujący mogą wysyłać żądania z ładunkami SQL opartymi na czasie, aby wydobywać wrażliwe informacje z bazy danych lub powodować odmowę usługi.

CVE-2026-27574
Critical

OneUptime to rozwiązanie do monitorowania i zarządzania usługami online. W wersjach 9.5.13 i poniżej funkcja niestandardowego monitorowania JavaScript wykorzystuje moduł node:vm Node.js, co pozwala na łatwe wydostanie się z piaskownicy i uzyskanie pełnego dostępu do procesu.

CVE-2026-27471
Critical

ERP to darmowe i otwarte narzędzie do zarządzania zasobami przedsiębiorstwa. W wersjach do 15.98.0 oraz 16.0.0-rc.1 i przez 16.6.0 niektóre punkty końcowe nie miały walidacji dostępu, co umożliwiało nieautoryzowany dostęp do dokumentów. Problem został naprawiony w wersjach 15.98.1 i 16.6.1.

CVE-2026-27211
Critical

Cloud Hypervisor, monitor maszyn wirtualnych dla obciążeń chmurowych, w wersjach od 34.0 do 50.0 jest podatny na wyciek plików hosta, gdy używane są urządzenia virtio-block z surowymi obrazami. Złośliwy gość może nadpisać nagłówek swojego dysku, co pozwala na dostęp do zawartości plików hosta podczas następnego uruchomienia maszyny wirtualnej.

CVE-2026-27197
Critical

Sentry, narzędzie do śledzenia błędów i monitorowania wydajności, ma krytyczną podatność w implementacji SAML SSO w wersjach od 21.12.0 do 26.1.0. Atakujący może przejąć konto użytkownika, wykorzystując złośliwego dostawcę tożsamości SAML w wieloorganizacyjnym środowisku Sentry.

CVE-2026-27194
Critical

D-Tale to narzędzie wizualizacyjne dla struktur danych pandas. Wersje przed 3.20.0 są podatne na zdalne wykonanie kodu przez punkt końcowy /save-column-filter.

CVE-2026-2039
Critical

Podatność GFI Archiver MArc.Store pozwala zdalnym atakującym na ominięcie autoryzacji w dotkniętych instalacjach. Brak wymogu autoryzacji umożliwia dostęp do funkcji, co może prowadzić do wykonania kodu w kontekście SYSTEM.

CVE-2026-2038
Critical

Podatność w GFI Archiver MArc.Core pozwala zdalnym atakującym na ominięcie autoryzacji na dotkniętych instalacjach. Problem wynika z braku autoryzacji przed udzieleniem dostępu do funkcjonalności, co umożliwia atakującym wykorzystanie tej luki.

CVE-2019-25441
Critical

thesystem w wersji 1.0 zawiera podatność na wstrzykiwanie poleceń, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez przesyłanie złośliwego wejścia do punktu końcowego run_command. Atakujący mogą wysyłać żądania POST z poleceniami powłoki w parametrze command, co umożliwia wykonanie dowolnego kodu na serwerze bez autoryzacji.

PreviousPage 167 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS