CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26009
Critical

CVE-2026-26009 dotyczy platformy Catalyst, która umożliwia hostowanie serwerów gier i integrację paneli rozliczeniowych. Skrypty instalacyjne w szablonach serwerów wykonują polecenia bezpośrednio na systemie operacyjnym jako root, co pozwala na zdalne wykonanie kodu na każdym węźle klastra przez użytkowników z odpowiednimi uprawnieniami.

CVE-2026-25993
Critical

EverShop to platforma eCommerce oparta na TypeScript. Podczas aktualizacji i usuwania kategorii, aplikacja wprowadza wartości ścieżki / request_path, pochodzące z url_key przechowywanego w bazie danych, do instrukcji SQL poprzez konkatenację łańcuchów, co prowadzi do drugorzędnej podatności na wstrzyknięcie SQL.

CVE-2026-21531
Critical

Deserializacja nieufnych danych w Azure SDK umożliwia nieautoryzowanemu atakującemu wykonanie kodu przez sieć.

CVE-2026-1774
Critical

CASL Ability w wersjach od 2.4.0 do 6.7.4 zawiera podatność na zanieczyszczenie prototypu. Ta luka może prowadzić do nieautoryzowanego dostępu do danych lub wykonania niepożądanych operacji.

CVE-2026-23906
Critical

W Apache Druid występuje podatność na obejście uwierzytelniania, gdy używana jest rozszerzenie druid-basic-security z uwierzytelnianiem LDAP. Atakujący może obejść uwierzytelnianie, podając istniejącą nazwę użytkownika z pustym hasłem, co umożliwia dostęp do zastrzeżonych zasobów Druid bez ważnych poświadczeń.

CVE-2025-11242
Critical

Podatność typu Server-Side Request Forgery (SSRF) w oprogramowaniu Okulistik firmy Teknolist Computer Systems Software Publishing Industry and Trade Inc. umożliwia atakującym przeprowadzanie nieautoryzowanych żądań z serwera.

CVE-2026-2096
Critical

Agentflow opracowany przez Flowring ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt, modyfikację i usunięcie zawartości bazy danych przy użyciu określonej funkcjonalności.

CVE-2026-2095
Critical

Agentflow opracowany przez Flowring ma podatność na obejście uwierzytelniania, co pozwala nieautoryzowanym zdalnym atakującym wykorzystać określoną funkcjonalność do uzyskania dowolnego tokena uwierzytelniającego użytkownika i zalogowania się do systemu jako dowolny użytkownik.

CVE-2026-0509
Critical

SAP NetWeaver Application Server ABAP oraz ABAP Platform umożliwiają uwierzytelnionemu użytkownikowi o niskich uprawnieniach wykonywanie zdalnych wywołań funkcji w tle bez wymaganej autoryzacji S_RFC w niektórych przypadkach. Może to prowadzić do poważnego wpływu na integralność i dostępność systemu.

CVE-2026-0488
Critical

W systemach SAP CRM i SAP S/4HANA (Edytor skryptów) zidentyfikowano lukę, która pozwala uwierzytelnionemu atakującemu na wykorzystanie błędu w ogólnym wywołaniu modułu funkcji. Może to prowadzić do wykonania nieautoryzowanych krytycznych funkcji, w tym dowolnych zapytań SQL.

CVE-2026-25939
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. W wersjach od 1.2.8 do 1.2.10 występuje luka w autoryzacji, która pozwala nieautoryzowanemu, zdalnemu atakującemu na tworzenie i modyfikowanie dowolnych harmonogramów, co naraża podłączone środowiska ICS/SCADA na dalsze działania.

CVE-2026-25938
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. W wersjach od 1.2.8 do 1.2.10 występuje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu, zdalnemu atakującemu na wykonanie dowolnego kodu na serwerze, gdy włączony jest plugin Node-RED. Problem został naprawiony w wersji 1.2.11.

CVE-2026-25895
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w przeglądarce. Występuje w nim podatność na traversję ścieżek, która pozwala nieautoryzowanemu, zdalnemu atakującemu na zapis dowolnych plików w dowolnych lokalizacjach na systemie plików serwera. Problem ten dotyczy wersji FUXA do 1.2.9, a został naprawiony w wersji 1.2.10.

CVE-2026-25894
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. Niezabezpieczona domyślna konfiguracja w FUXA pozwala nieautoryzowanemu, zdalnemu atakującemu uzyskać dostęp administracyjny i wykonywać dowolny kod na serwerze, co dotyczy wersji FUXA do 1.2.9, gdy uwierzytelnienie jest włączone, ale sekret JWT administratora nie jest skonfigurowany.

CVE-2026-25893
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) działające w sieci. Przed wersją 1.2.10 istniała podatność na obejście uwierzytelniania, która pozwalała nieautoryzowanemu atakującemu zdalnie uzyskać dostęp administracyjny poprzez API odświeżania heartbeat i wykonać dowolny kod na serwerze.

CVE-2026-25923
Critical

my little forum to forum internetowe oparte na PHP i MySQL, które wyświetla wiadomości w klasycznym widoku wątków. Przed wersją 20260208.1 aplikacja nie filtruje protokołu phar:// w walidacji URL, co pozwala atakującym na przesyłanie złośliwych plików Phar Polyglot (przebranych za JPEG) za pomocą funkcji przesyłania obrazów, co prowadzi do deserializacji Phar poprzez przetwarzanie tagu BBCode [img] i umożliwia usunięcie dowolnych plików.

CVE-2026-25881
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.31 występuje podatność na ucieczkę z sandboxa, która pozwala na modyfikację wbudowanych prototypów hosta przez manipulację flagą ochrony isGlobal za pomocą pośrednich literałów tablicowych.

CVE-2026-25875
Critical

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 middleware autoryzacji administratora ufa roszczeniom JWT kontrolowanym przez klienta (rola i zakres), nie wymuszając weryfikacji ról po stronie serwera.

CVE-2026-25814
Critical

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 parametry zapytań kontrolowane przez użytkownika są przekazywane bezpośrednio do konstrukcji zapytań/filtrów DynamoDB bez walidacji lub sanitizacji.

CVE-2026-25811
Critical

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja pobiera identyfikator najemcy bezpośrednio z domeny e-mail podanej przez użytkownika, nie weryfikując własności ani rejestracji domeny, co umożliwia dostęp do danych między najemcami.

PreviousPage 176 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS