CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W podatności CVE-2025-10970 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w oprogramowaniu Talentics firmy Kolay Software Inc. Problem ten dotyczy wersji Talentics do 20022026.
LibreNMS to narzędzie do monitorowania sieci oparte na PHP/MySQL/SNMP, które w wersjach 25.12.0 i poniżej zawiera podatność na wstrzykiwanie SQL w punkcie końcowym ajax_table.php. Aplikacja nieprawidłowo sanitizuje lub parametryzuje dane wejściowe użytkownika podczas przetwarzania wyszukiwań adresów IPv6, co umożliwia atakującemu wstrzyknięcie dowolnych poleceń SQL.
Ghost is a Node.js content management system. Versions 3.24.0 through 6.19.0 allow unauthenticated attackers to perform arbitrary reads from the database.
Slyde to program do tworzenia animowanych prezentacji z XML. W wersjach 0.0.4 i poniżej, Node.js automatycznie importuje pliki **/*.plugin.{js,mjs}, co pozwala na wykonanie dowolnego kodu przez złośliwe pakiety zawierające plik .plugin.js podczas instalacji lub użycia.
Podatność CVE-2025-30416 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu braku autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.
Podatność CVE-2025-30412 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu niewłaściwej autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.
Podatność CVE-2025-30411 dotyczy ujawnienia i manipulacji wrażliwymi danymi z powodu niewłaściwej autoryzacji. Affected są produkty Acronis Cyber Protect 16 (Linux, Windows) przed wersją 39938 oraz Acronis Cyber Protect 15 (Linux, Windows) przed wersją 41800.
Brak autoryzacji w produktach Acronis Cyber Protect Cloud Agent oraz Acronis Cyber Protect 15 i 16 umożliwia ujawnienie i manipulację wrażliwymi danymi. Dotyczy to wersji przed określonymi buildami dla systemów Linux, macOS i Windows.
OpenClaw to osobisty asystent AI, który przed wersją 2026.2.15 miał problem z wstrzykiwaniem konfiguracji w narzędziu Docker, co mogło pozwolić na zastosowanie niebezpiecznych opcji Docker, umożliwiając ucieczkę z kontenera lub dostęp do danych hosta. W wersji 2026.2.15 wprowadzono blokady niebezpiecznych ustawień Docker w sandboxie oraz walidację schematu konfiguracji.
RustFly w wersji 2.0.0 zawiera podatność na wstrzykiwanie poleceń w swoim zdalnym mechanizmie kontroli UI, który akceptuje instrukcje zakodowane w formacie hex przez port UDP 5005 bez odpowiedniej sanitizacji. Atakujący mogą wysyłać spreparowane ładunki hex, które zawierają polecenia systemowe do wykonania dowolnych operacji na docelowym systemie.
W RUCKUS Network Director (RND) w wersjach poniżej 4.5.0.56, urządzenie OVA zawiera hardkodowane klucze SSH dla użytkownika postgres. Klucze te są identyczne we wszystkich wdrożeniach, co umożliwia atakującemu z dostępem do sieci uwierzytelnienie się przez SSH bez hasła.
W Ruckus Network Director (RND) w wersjach poniżej 4.5.0.54, urządzenie OVA zawiera zakodowane na stałe dane uwierzytelniające dla użytkownika bazy danych PostgreSQL. W domyślnej konfiguracji usługa PostgreSQL jest dostępna w sieci na porcie TCP 5432.
Usługa Transformacji Hyland Alfresco pozwala nieautoryzowanym atakującym na zdalne wykonanie kodu poprzez podatność na wstrzykiwanie argumentów, która występuje w funkcjonalności przetwarzania dokumentów.
Usługa transformacji Hyland Alfresco umożliwia nieautoryzowanym atakującym przeprowadzenie ataku typu server-side request forgery (SSRF) za pomocą funkcjonalności przetwarzania dokumentów.
SDK Semantic Kernel firmy Microsoft, w wersjach przed 1.39.4, ma podatność na zdalne wykonanie kodu w funkcjonalności filtra `InMemoryVectorStore`. Problem został naprawiony w wersji `python-1.39.4`.
A vulnerability in Kata Containers prior to version 3.27.0 allows a container user to modify the file system of the guest Micro VM via Cloud Hypervisor, leading to arbitrary code execution as root within that VM. The issue does not impact the host or other containers/VMs on the same host, except on arm64 with QEMU where guest writes could reach the image file.
Wtyczka 'Saisies pour formulaire' (Saisies) dla SPIP w wersjach od 5.4.0 do 5.11.0 zawiera krytyczną podatność na zdalne wykonanie kodu (RCE). Atakujący może wykorzystać tę podatność do wykonania dowolnego kodu na serwerze.
SoftVision webPDF w wersjach przed 10.0.2 jest podatny na atak typu Server-Side Request Forgery (SSRF). Funkcja konwersji PDF nie sprawdza, czy w przesyłanych plikach żądane są zasoby wewnętrzne lub zewnętrzne, co umożliwia wykorzystanie protokołów takich jak http:// i file:///.
A vulnerability in Databank Accreditation Software allows authorization bypass through user-controlled SQL primary key, enabling SQL Injection.
W BiEticaret CMS występuje podatność na obejście uwierzytelnienia oraz dzielenie odpowiedzi HTTP z powodu braku uwierzytelnienia dla krytycznych funkcji. Problem dotyczy wersji od 2.1.13 do 19022026.

