CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26068
Critical

emp3r0r to narzędzie C2 skoncentrowane na stealth, zaprojektowane przez użytkowników Linuksa dla środowisk Linuksowych. W wersjach przed 3.21.1, nieufne metadane agenta (Transport, Hostname) są akceptowane podczas rejestracji i później interpolowane w ciągi poleceń tmux wykonywane przez /bin/sh -c, co umożliwia wstrzyknięcie poleceń i zdalne wykonanie kodu na hoście operatora.

CVE-2026-1358
Critical

Wersje Airleader Master 6.381 i wcześniejsze umożliwiają przesyłanie plików bez ograniczeń na wielu stronach internetowych działających z maksymalnymi uprawnieniami. Może to pozwolić nieautoryzowanemu użytkownikowi na potencjalne uzyskanie zdalnego wykonania kodu na serwerze.

CVE-2026-26011
Critical

W wersjach 1.3.11 i wcześniejszych w frameworku i systemie nawigacji ROS 2 (navigation2) występuje krytyczna podatność na zapis poza granicami pamięci w logice klastrowania filtru cząstek Nav2 AMCL. Atakujący może wykorzystać specjalnie skonstruowaną wiadomość geometry_msgs/PoseWithCovarianceStamped, aby wywołać zapis z negatywnym indeksem w pamięci sterty.

CVE-2026-25996
Critical

Inspektor Gadget to zestaw narzędzi i framework do zbierania danych oraz inspekcji systemu w klastrach Kubernetes i hostach Linux przy użyciu eBPF. Pola tekstowe z wydarzeń eBPF w trybie wyjścia kolumnowego są renderowane w terminalu bez jakiejkolwiek sanitizacji znaków kontrolnych lub sekwencji ucieczki ANSI.

CVE-2026-25227
Critical

Podatność w authentik, otwartoźródłowym dostawcy tożsamości, pozwala użytkownikom z odpowiednimi uprawnieniami na wykonanie dowolnego kodu w kontenerze serwera authentik poprzez punkt końcowy testowy. Dotyczy to wersji od 2021.3.1 do przed 2025.8.6, 2025.10.4 i 2025.12.4.

CVE-2026-24895
Critical

FrankenPHP to nowoczesny serwer aplikacji dla PHP. W wersjach przed 1.11.2 logika dzielenia ścieżki CGI niewłaściwie obsługuje znaki Unicode podczas konwersji wielkości liter, co może prowadzić do wykonania niewłaściwego pliku.

CVE-2025-70314
Critical

webfsd w wersji 1.21 jest podatny na przepełnienie bufora w wyniku specjalnie przygotowanego żądania. Problem ten wynika z nieprawidłowego przetwarzania zmiennej filename.

CVE-2026-26219
Critical

Nowa aplikacja newbee-mall przechowuje i weryfikuje hasła użytkowników przy użyciu nieosolonego algorytmu haszującego MD5. Implementacja nie uwzględnia soli per użytkownika ani kontroli kosztów obliczeniowych, co umożliwia atakującym szybkie odzyskiwanie haseł w postaci tekstu jawnego w przypadku uzyskania dostępu do haszy haseł.

CVE-2026-26218
Critical

Nowa aplikacja newbee-mall zawiera w swoim skrypcie inicjalizacji bazy danych wstępnie skonfigurowane konta administratorów z przewidywalnym domyślnym hasłem. Wdrożenia, które inicjalizują lub resetują bazę danych przy użyciu dostarczonego schematu i nie zmieniają domyślnych danych logowania administratora, mogą umożliwić nieautoryzowanym atakującym zalogowanie się jako administrator.

CVE-2025-70981
Critical

CordysCRM w wersji 1.4.1 jest podatny na atak typu SQL Injection w interfejsie zapytania listy pracowników (/user/list) poprzez parametr departmentIds.

CVE-2026-26216
Critical

Wersje Crawl4AI przed 0.8.0 zawierają podatność na zdalne wykonanie kodu w interfejsie API Dockera. Punkt końcowy /crawl akceptuje parametr hooks zawierający kod Pythona, który jest wykonywany za pomocą exec().

CVE-2025-69634
Critical

Podatność typu Cross Site Request Forgery w Dolibarr ERP & CRM w wersji 22.0.9 umożliwia zdalnemu atakującemu eskalację uprawnień poprzez pole notatek w perms.php. Istnieją jednak kontrowersje dotyczące tej podatności, ponieważ niektórzy twierdzą, że wykorzystanie jej jest możliwe tylko wtedy, gdy nieuprzywilejowany użytkownik zna token użytkownika z uprawnieniami administratora.

CVE-2025-14014
Critical

Podatność CVE-2025-14014 dotyczy nieograniczonego przesyłania plików o niebezpiecznym typie w oprogramowaniu Smart Panel firmy NTN Information Processing Services. Problem ten pozwala na dostęp do funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL).

CVE-2025-10969
Critical

W podatności CVE-2025-10969 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w pakiecie E-Commerce firmy Farktor Software. Problem ten dotyczy wersji pakietu E-Commerce do dnia 27 listopada 2025 roku.

CVE-2025-15573
Critical

Zainfekowane urządzenia nie weryfikują certyfikatu serwera podczas łączenia z serwerem SolaX Cloud MQTTS hostowanym w Alibaba Cloud. To umożliwia atakującym w pozycji man-in-the-middle podszywanie się pod prawdziwy serwer MQTT i wydawanie dowolnych poleceń do urządzeń.

CVE-2025-14892
Critical

Wtyczka Prime Listing Manager dla WordPressa w wersji do 1.1 umożliwia atakującemu uzyskanie dostępu administracyjnego bez posiadania jakiegokolwiek konta na docelowej stronie oraz wykonywanie nieautoryzowanych działań z powodu wbudowanego sekretu.

CVE-2026-1729
Critical

Motyw AdForest dla WordPressa jest podatny na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 6.0.12. Problem wynika z niewłaściwego weryfikowania tożsamości użytkownika przed uwierzytelnieniem go za pomocą funkcji 'sb_login_user_with_otp_fun'.

CVE-2026-20677
Critical

Wystąpił problem z warunkiem wyścigu, który został rozwiązany poprzez poprawione zarządzanie linkami symbolicznymi. Problem ten został naprawiony w wersjach iOS 18.7.5, iPadOS 18.7.5, iOS 26.3, iPadOS 26.3, macOS Sonoma 14.8.4, macOS Tahoe 26.3 oraz visionOS 26.3.

CVE-2025-67135
Critical

Słaba zabezpieczenia w pilocie PF-50 1.2 systemu alarmowego PGST PG107 w wersji 1.25.05.hf umożliwiają atakującym przeprowadzenie ataku powtórkowego kodu, co prowadzi do kompromitacji kontroli dostępu.

CVE-2026-26021
Critical

W pakiecie npm set-in (w wersjach >=2.0.1, < 2.0.5) występuje podatność na zanieczyszczenie prototypu. Mimo wcześniejszej poprawki, która miała na celu ograniczenie tego typu ataków, nadal istnieje możliwość zanieczyszczenia Object.prototype za pomocą odpowiednio skonstruowanego wejścia.

PreviousPage 174 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS