CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-25876
Critical

PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/results.routes.ts weryfikuje autoryzację, ale nie egzekwuje autoryzacji na poziomie obiektów, co pozwala na zwrócenie wszystkich wyników dla danego oceniania.

CVE-2026-25810
Critical

PlaciPy to system zarządzania przyjęciami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0, plik backend/src/routes/student.submission.routes.ts weryfikuje uwierzytelnienie, ale nie egzekwuje autoryzacji na poziomie obiektów (sprawdzania własności).

CVE-2026-25809
Critical

PlaciPy to system zarządzania praktykami zaprojektowany dla instytucji edukacyjnych. W wersji 1.0.0 punkt końcowy oceny kodu nie weryfikuje stanu cyklu życia oceny przed umożliwieniem jej wykonania.

CVE-2026-25057
Critical

MarkUs to aplikacja webowa do składania i oceniania prac studentów. W wersjach przed 2.9.1, instruktorzy mogli przesyłać plik zip, aby utworzyć zadanie z wyeksportowanej konfiguracji, co prowadziło do możliwości zapisu plików na dysku bez odpowiedniej weryfikacji ścieżek.

CVE-2026-24679
Critical

FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 klient URBDRC używa numerów interfejsów dostarczonych przez serwer jako indeksów tablic bez sprawdzania granic, co prowadzi do odczytu poza zakresem w libusb_udev_select_interface. Ta podatność została naprawiona w wersji 3.22.0.

CVE-2026-24677
Critical

FreeRDP to darmowa implementacja protokołu zdalnego pulpitu. W wersjach przed 3.22.0 funkcja ecam_encoder_compress_h264 ufa wymiarom kontrolowanym przez serwer i nie weryfikuje rozmiaru bufora źródłowego, co prowadzi do odczytu poza zakresem w funkcji sws_scale. Ta podatność została naprawiona w wersji 3.22.0.

CVE-2025-66630
Critical

Fiber to framework webowy inspirowany Express, napisany w Go. W wersjach przed 2.52.11, na wersjach Go przed 1.24, implementacja crypto/rand może zwracać błąd, jeśli nie można uzyskać bezpiecznej losowości, co prowadzi do używania przewidywalnych identyfikatorów w krytycznych ścieżkach bezpieczeństwa.

CVE-2025-6830
Critical

W module haseł firmy Xpoda Türkiye Information Technology Inc. występuje podatność na wstrzykiwanie SQL (SQL Injection) z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL. Problem ten dotyczy modułu haseł do dnia 11022026.

CVE-2026-25848
Critical

W JetBrains Hub przed wersją 2025.3.119807 istniała podatność umożliwiająca obejście uwierzytelniania, co pozwalało na wykonywanie działań administracyjnych.

CVE-2026-2234
Critical

C&Cm@il opracowany przez HGiga ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt i modyfikację treści wiadomości dowolnego użytkownika.

CVE-2026-22906
Critical

Dane uwierzytelniające użytkowników są przechowywane z użyciem szyfrowania AES‑ECB z twardo zakodowanym kluczem. Nieautoryzowany zdalny atakujący, który uzyska plik konfiguracyjny, może odszyfrować i odzyskać hasła oraz nazwy użytkowników, zwłaszcza w połączeniu z obejściem uwierzytelniania.

CVE-2026-22904
Critical

Nieprawidłowe zarządzanie długością podczas analizowania wielu pól cookie (w tym TRACKID) umożliwia nieautoryzowanemu zdalnemu atakującemu wysyłanie zbyt dużych wartości cookie, co prowadzi do przepełnienia bufora stosu. Może to skutkować awarią usługi oraz potencjalnym zdalnym wykonaniem kodu.

CVE-2026-22903
Critical

Podatność CVE-2026-22903 dotyczy zmodyfikowanego serwera lighttpd, który nie chroni przed zbyt długimi ciasteczkami SESSIONID. Atakujący zdalnie, bez uwierzytelnienia, może wysłać odpowiednio skonstruowane żądanie HTTP, co prowadzi do przepełnienia bufora stosu i awarii serwera.

CVE-2026-1868
Critical

GitLab naprawił podatność w komponencie Duo Workflow Service w bramie AI GitLab, która dotyczyła wszystkich wersji bramy AI od 18.1.6, 18.2.6, 18.3.1 do 18.6.1, 18.7.0 i 18.8.0. Podatność ta umożliwiała niebezpieczne rozszerzenie szablonów danych dostarczonych przez użytkowników, co mogło prowadzić do odmowy usługi lub wykonania kodu na bramie.

CVE-2026-1615
CriticalEPSS 60%

The jsonpath library before version 1.3.0 is vulnerable to Remote Code Execution (RCE) in Node.js environments and Cross-site Scripting (XSS) in browsers. The vulnerability stems from unsafe use of the static-eval module to process JSON Path expressions, allowing an attacker to inject arbitrary JavaScript code. This affects all methods that evaluate JSON Paths, including .query, .nodes, .paths, .value, .parent, and .apply.

CVE-2025-66606
Critical

Wykryto podatność w FAST/TOOLS dostarczonym przez firmę Yokogawa Electric Corporation. Produkt nieprawidłowo koduje adresy URL, co pozwala atakującemu na manipulację stronami internetowymi lub wykonywanie złośliwych skryptów.

CVE-2025-66603
Critical

Wykryto podatność w FAST/TOOLS dostarczanym przez Yokogawa Electric Corporation. Serwer webowy akceptuje metodę OPTIONS, co może być wykorzystane przez atakującego do przeprowadzenia innych ataków.

CVE-2025-66602
Critical

Wykryto podatność w FAST/TOOLS dostarczanym przez firmę Yokogawa Electric Corporation. Serwer WWW akceptuje dostęp za pomocą adresu IP, co może umożliwić atak robaka, który losowo przeszukuje adresy IP w sieci.

CVE-2025-15027
Critical

Wtyczka JAY Login & Register dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 2.6.03 włącznie. Problem wynika z możliwości aktualizacji dowolnych metadanych użytkownika przez funkcję 'jay_login_register_ajax_create_final_user'.

CVE-2026-25858
Critical

W wersji 1.0.3 i wcześniejszych makrozheng mall występuje podatność związana z uwierzytelnianiem w procesie resetowania hasła w portalu, która pozwala nieautoryzowanemu atakującemu na resetowanie haseł dowolnych kont użytkowników przy użyciu jedynie numeru telefonu ofiary. Proces resetowania hasła ujawnia jednorazowe hasło (OTP) bezpośrednio w odpowiedzi API i weryfikuje żądania resetowania hasła tylko poprzez porównanie podanego OTP z wartością przechowywaną pod numerem telefonu.

PreviousPage 177 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS