CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
CVE-2026-26009 dotyczy platformy Catalyst, która umożliwia hostowanie serwerów gier i integrację paneli rozliczeniowych. Skrypty instalacyjne w szablonach serwerów wykonują polecenia bezpośrednio na systemie operacyjnym jako root, co pozwala na zdalne wykonanie kodu na każdym węźle klastra przez użytkowników z odpowiednimi uprawnieniami.
EverShop to platforma eCommerce oparta na TypeScript. Podczas aktualizacji i usuwania kategorii, aplikacja wprowadza wartości ścieżki / request_path, pochodzące z url_key przechowywanego w bazie danych, do instrukcji SQL poprzez konkatenację łańcuchów, co prowadzi do drugorzędnej podatności na wstrzyknięcie SQL.
Deserializacja nieufnych danych w Azure SDK umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.
CASL Ability w wersjach od 2.4.0 do 6.7.4 zawiera podatność na zanieczyszczenie prototypu. Ta luka może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji.
W Apache Druid występuje podatność na obejście uwierzytelniania, gdy używana jest rozszerzenie druid-basic-security z uwierzytelnianiem LDAP. Atakujący może obejść uwierzytelnianie, podając istniejącą nazwę użytkownika z pustym hasłem, co umożliwia dostęp do zastrzeżonych zasobów Druid bez ważnych poświadczeń.
Podatność typu Server-Side Request Forgery (SSRF) w oprogramowaniu Okulistik firmy Teknolist Computer Systems Software Publishing Industry and Trade Inc. umożliwia atakującym przeprowadzanie nieautoryzowanych żądań z serwera.
Agentflow opracowany przez Flowring ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt, modyfikację i usunięcie zawartości bazy danych przy użyciu określonej funkcjonalności.
Agentflow opracowany przez Flowring ma podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym zdalnym atakującym wykorzystać określoną funkcjonalność do uzyskania dowolnego tokena uwierzytelniającego użytkownika i zalogowania się do systemu jako dowolny użytkownik.
SAP NetWeaver Application Server ABAP oraz ABAP Platform umożliwiają uwierzytelnionemu użytkownikowi o niskich uprawnieniach wykonywanie zdalnych wywołań funkcji w tle bez wymaganej autoryzacji S_RFC w niektórych przypadkach. Może to prowadzić do poważnego wpływu na integralność i dostępność systemu.
W systemach SAP CRM i SAP S/4HANA (Edytor skryptów) zidentyfikowano lukę, która pozwala uwierzytelnionemu atakującemu na wykorzystanie błędu w ogólnym wywołaniu modułu funkcji. Może to prowadzić do wykonania nieautoryzowanych krytycznych funkcji, w tym dowolnych zapytań SQL.
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. W wersjach od 1.2.8 do 1.2.10 występuje luka w autoryzacji, która pozwala nieautoryzowanemu, zdalnemu atakującemu na tworzenie i modyfikowanie dowolnych harmonogramów, co naraża podłączone środowiska ICS/SCADA na dalsze działania.
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. W wersjach od 1.2.8 do 1.2.10 występuje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu, zdalnemu atakującemu na wykonanie dowolnego kodu na serwerze, gdy włączony jest plugin Node-RED. Problem został naprawiony w wersji 1.2.11.
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w przeglądarce. Występuje w nim podatność na traversję ścieżek, która pozwala nieautoryzowanemu, zdalnemu atakującemu na zapis dowolnych plików w dowolnych lokalizacjach na systemie plików serwera. Problem ten dotyczy wersji FUXA do 1.2.9, a został naprawiony w wersji 1.2.10.
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. Niezabezpieczona domyślna konfiguracja w FUXA pozwala nieautoryzowanemu, zdalnemu atakującemu uzyskać dostęp administracyjny i wykonywać dowolny kod na serwerze, co dotyczy wersji FUXA do 1.2.9, gdy uwierzytelnienie jest włączone, ale sekret JWT administratora nie jest skonfigurowany.
FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. Przed wersją 1.2.10 istniała podatność na obejście uwierzytelniania, która pozwalała nieautoryzowanemu atakującemu zdalnie uzyskać dostęp administracyjny poprzez API odświeżania heartbeat i wykonać dowolny kod na serwerze.
my little forum to forum internetowe oparte na PHP i MySQL, które wyświetla wiadomości w klasycznym widoku wątków. Przed wersją 20260208.1 aplikacja nie filtruje protokołu phar:// w walidacji URL, co pozwala atakującym na przesyłanie złośliwych plików Phar Polyglot (przebranych za JPEG) za pomocą funkcji przesyłania obrazów, co prowadzi do deserializacji Phar poprzez przetwarzanie tagu BBCode [img] i umożliwia usunięcie dowolnych plików.
SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.31 występuje podatność na ucieczkę z sandboxa, która pozwala na modyfikację wbudowanych prototypów hosta przez manipulację flagą ochrony isGlobal za pomocą pośrednich literałów tablicowych.
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 parametry zapytań kontrolowane przez użytkownika są przekazywane bezpośrednio do konstrukcji zapytań/filtrów DynamoDB bez walidacji lub sanitizacji.
PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja pobiera identyfikator najemcy bezpośrednio z domeny e-mail podanej przez użytkownika, nie weryfikując własności ani rejestracji domeny, co umożliwia dostęp do danych między najemcami.

