CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-25560
Critical

W wersjach WeKan przed 8.19 występuje podatność na wstrzykiwanie filtrów LDAP w procesie uwierzytelniania LDAP. Wprowadzone przez użytkownika dane dotyczące nazwy użytkownika są włączane do filtrów wyszukiwania LDAP oraz wartości związanych z DN bez odpowiedniego zabezpieczenia, co umożliwia atakującemu manipulację zapytaniami LDAP podczas uwierzytelniania.

CVE-2020-37162
Critical

Wedding Slideshow Studio w wersji 1.36 zawiera podatność na przepełnienie bufora w polu wprowadzania klucza rejestracyjnego, co pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie pamięci. Atakujący mogą stworzyć złośliwy ładunek o wielkości 1608 bajtów, aby wywołać przepełnienie bufora oparte na stosie.

CVE-2020-37161
Critical

Wedding Slideshow Studio w wersji 1.36 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu poprzez nadpisanie pola nazwy rejestracyjnej złośliwym ładunkiem. Atakujący mogą stworzyć specjalnie zaprojektowany ładunek, aby wywołać zdalne wykonanie kodu.

CVE-2020-37159
Critical

Parallaxis Cuckoo Clock 5.0 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie rejestrów pamięci w funkcji planowania alarmów. Atakujący mogą stworzyć złośliwy ładunek przekraczający 260 bajtów, co umożliwia wykonanie shellcode'a.

CVE-2020-37095
Critical

Klient uwierzytelniania Cyberoam w wersji 2.1.2.7 zawiera podatność na przepełnienie bufora, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez nadpisanie pamięci Structured Exception Handler (SEH). Atakujący mogą przygotować złośliwe dane wejściowe w polu 'Adres serwera Cyberoam', co prowadzi do uruchomienia powłoki TCP na porcie 1337 z dostępem na poziomie systemu.

CVE-2026-25804
Critical

Antrea to rozwiązanie sieciowe dla Kubernetes, które przed wersjami 2.3.2 i 2.4.3 miało błąd przepełnienia arytmetycznego w systemie przypisywania priorytetów polityki sieciowej. Błąd ten prowadził do nieprawidłowych obliczeń priorytetów OpenFlow przy obsłudze dużej liczby polityk o różnych wartościach priorytetów.

CVE-2026-25803
Critical

3DP-MANAGER to generator przychodzący dla 3x-ui. W wersji 2.0.1 i wcześniejszych aplikacja automatycznie tworzy konto administracyjne z domyślnymi danymi logowania (admin/admin) podczas pierwszej inicjalizacji.

CVE-2026-25763
Critical

OpenProject to oprogramowanie do zarządzania projektami, które przed wersjami 16.6.7 i 17.0.3 miało podatność na zapis dowolnych plików w punkcie końcowym zmian repozytorium. Atakujący mógł wykorzystać specjalnie skonstruowaną wartość rev, aby wstrzyknąć opcje wiersza poleceń git log, co prowadziło do zapisu plików w wybranej przez niego lokalizacji.

CVE-2026-25544
Critical

Payload to darmowy i otwarty system zarządzania treścią bez interfejsu graficznego. Przed wersją 3.73.0, podczas zapytań do pól JSON lub richText, dane wejściowe użytkownika były bezpośrednio osadzane w SQL bez odpowiedniego zabezpieczenia, co umożliwiało ataki typu blind SQL injection.

CVE-2026-1731
Critical

BeyondTrust Remote Support (RS) oraz niektóre starsze wersje Privileged Remote Access (PRA) zawierają krytyczną podatność na zdalne wykonanie kodu przed uwierzytelnieniem. Atakujący zdalny, nieposiadający uprawnień, może wysyłać specjalnie przygotowane żądania, co pozwala na wykonanie poleceń systemu operacyjnego w kontekście użytkownika witryny.

CVE-2026-25632
Critical

EPyT-Flow to pakiet Pythona, który umożliwia łatwe generowanie danych scenariuszy hydraulicznych i jakości wody w sieciach dystrybucji wody. W wersjach przed 0.16.1, REST API EPyT-Flow parsuje kontrolowane przez atakującego ciała żądań JSON, co może prowadzić do wykonania poleceń systemowych podczas analizy JSON.

CVE-2026-25592
Critical

W SDK Semantic Kernel wystąpiła podatność na zapis dowolnych plików, zidentyfikowana w SessionsPythonPlugin przed wersją 1.71.0. Problem został naprawiony w wersji Microsoft.SemanticKernel.Core 1.71.0.

CVE-2026-25643
Critical

Frigate to rejestrator wideo (NVR) z lokalnym wykrywaniem obiektów w czasie rzeczywistym dla kamer IP. Przed wersją 0.16.4 zidentyfikowano krytyczną podatność na zdalne wykonanie poleceń (RCE) w integracji Frigate z go2rtc, która pozwala na bezpośrednią iniekcję poleceń systemowych poprzez dyrektywę exec: w konfiguracji strumienia wideo.

CVE-2026-25641
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 występuje podatność na ucieczkę z sandboxa spowodowana niezgodnością między kluczem używanym do walidacji a kluczem używanym do dostępu do właściwości.

CVE-2026-25587
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29, prototyp Map jest w SAFE_PROTOYPES, co pozwala na jego uzyskanie przez Map.prototype. Przez nadpisanie Map.prototype.has możliwe jest wydostanie się z sandboxa.

CVE-2026-25586
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. Przed wersją 0.8.29 istniała możliwość ucieczki z sandboxa poprzez nadpisanie metody hasOwnProperty na obiekcie sandboxowym, co dezaktywowało egzekwowanie białej listy prototypów w ścieżce dostępu do właściwości.

CVE-2026-25520
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. W wersjach przed 0.8.29 wartości zwracane przez funkcje nie były odpowiednio zabezpieczone, co pozwalało na uzyskanie dostępu do konstruktora funkcji hosta i wykonanie dowolnego kodu poza sandboxem.

CVE-2026-1709
CriticalEPSS 92%

In Keylime since version 7.12.0, client-side TLS authentication is not enforced. This authentication bypass vulnerability allows unauthenticated clients with network access to perform administrative operations, including listing agents, retrieving public TPM data, and deleting agents, without presenting a client certificate.

CVE-2026-25753
Critical

PlaciPy to system zarządzania miejscami przeznaczony dla instytucji edukacyjnych. W wersji 1.0.0 aplikacja używa wbudowanego, statycznego domyślnego hasła dla wszystkich nowo utworzonych kont studentów, co prowadzi do masowego przejęcia kont.

CVE-2026-25752
Critical

FUXA to oprogramowanie do wizualizacji procesów (SCADA/HMI/Dashboard) oparte na sieci web. Wykryto lukę w autoryzacji, która pozwala nieautoryzowanemu, zdalnemu atakującemu na modyfikację tagów urządzeń za pomocą WebSockets, omijając kontrolę dostępu opartą na rolach.

PreviousPage 178 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS