CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-25539
Critical

SiYuan to system zarządzania wiedzą osobistą. W wersjach przed 3.5.5, punkt końcowy /api/file/copyFile nie weryfikował parametru dest, co pozwalało uwierzytelnionym użytkownikom na zapisywanie plików w dowolnych lokalizacjach w systemie plików.

CVE-2026-25526
Critical

JinJava to silnik szablonów oparty na Javie, który przed wersjami 2.7.6 i 2.8.3 był podatny na wykonanie dowolnego kodu Java poprzez obejście zabezpieczeń w ForTag. Umożliwia to instancjonowanie dowolnych klas Java oraz dostęp do plików, omijając wbudowane ograniczenia sandboxa.

CVE-2025-13375
Critical

IBM Common Cryptographic Architecture (CCA) w wersjach 7.5.52 i 8.4.82 może pozwolić nieautoryzowanemu użytkownikowi na wykonywanie dowolnych poleceń z podwyższonymi uprawnieniami w systemie.

CVE-2026-25505
Critical

Bambuddy to samodzielnie hostowany system archiwizacji i zarządzania wydrukami dla drukarek 3D Bambu Lab. W wersjach przed 0.1.7 w kodzie źródłowym znajdował się zakodowany klucz tajny używany do podpisywania JWT, a wiele tras ManyAPI nie sprawdzało uwierzytelnienia. Problem ten został naprawiony w wersji 0.1.7.

CVE-2026-25481
Critical

Langroid to framework do budowania aplikacji opartych na dużych modelach językowych. W wersjach przed 0.59.32 występuje luka, która pozwala na obejście zabezpieczeń wprowadzonych w CVE-2025-46724, umożliwiając wykonanie dowolnego kodu poprzez niewłaściwe przetwarzanie wejścia.

CVE-2026-25160
Critical

Alist to program do zarządzania listą plików, który przed wersją 3.57.0 domyślnie wyłączał weryfikację certyfikatów TLS dla wszystkich komunikacji z driverami magazynów. To stwarzało podatność na ataki typu Man-in-the-Middle (MitM), umożliwiając odszyfrowanie, kradzież i manipulację danymi przesyłanymi podczas operacji magazynowych.

CVE-2026-25139
Critical

RIOT to otwartoźródłowy system operacyjny dla mikrokontrolerów, zaprojektowany z myślą o urządzeniach IoT i innych urządzeniach wbudowanych. W wersji 2025.10 i wcześniejszych, występuje wiele przypadków odczytu poza zakresem, które pozwalają nieautoryzowanym użytkownikom na odczytanie sąsiednich lokalizacji pamięci lub awarię podatnego urządzenia działającego na stosie 6LoWPAN.

CVE-2025-64712
Critical

Biblioteka unstructured dostarcza komponenty open-source do przetwarzania obrazów i dokumentów tekstowych. W wersjach przed 0.18.18 występowała podatność typu path traversal w funkcji partition_msg, która pozwalała atakującemu na zapis lub nadpisanie dowolnych plików w systemie plików podczas przetwarzania złośliwych plików MSG z załącznikami.

CVE-2025-5329
Critical

Podatność CVE-2025-5329 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Delta Course Automation firmy Martcode Software Inc. Problem ten dotyczy wersji oprogramowania do 04022026.

CVE-2025-59818
Critical

Ta podatność pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń w systemie operacyjnym, wykorzystując nazwę przesłanego pliku.

CVE-2026-1633
Critical

Adapter Synectix LAN 232 TRIO 3-Port, służący do konwersji sygnału szeregowego na ethernet, udostępnia interfejs zarządzania siecią bez wymogu uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom modyfikację krytycznych ustawień urządzenia lub przywrócenie ustawień fabrycznych.

CVE-2026-1632
Critical

Stacja sejsmiczna MOMA w wersji v2.4.2520 i wcześniejszych udostępnia interfejs zarządzania przez sieć bez wymogu uwierzytelnienia. Może to pozwolić nieautoryzowanemu atakującemu na modyfikację ustawień konfiguracyjnych, pozyskanie danych urządzenia lub zdalne zresetowanie urządzenia.

CVE-2026-25510
Critical

CI4MS to szkielet CMS oparty na CodeIgniter 4, który oferuje gotową do produkcji, modułową architekturę z autoryzacją RBAC i wsparciem dla motywów. Przed wersją 0.28.5.0, uwierzytelniony użytkownik z uprawnieniami edytora plików mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wykorzystanie punktów końcowych do tworzenia i zapisywania plików, co pozwalało na przesyłanie i wykonywanie dowolnego kodu PHP na serwerze.

CVE-2026-25150
Critical

W frameworku Qwik, przed wersją 1.19.0, występuje podatność na zanieczyszczenie prototypu w funkcji formToObj() w middleware @builder.io/qwik-city. Funkcja ta przetwarza nazwy pól formularzy z użyciem notacji kropkowej, ale nie sanitizuje niebezpiecznych nazw właściwości, co umożliwia atakującym zdalne zanieczyszczenie Object.prototype.

CVE-2020-37090
Critical

School ERP Pro w wersji 1.0 zawiera podatność na przesyłanie plików, która pozwala studentom na przesyłanie dowolnych plików PHP do systemu wiadomości. Atakujący mogą przesyłać złośliwe skrypty PHP za pomocą funkcji załączania wiadomości, co umożliwia zdalne wykonanie kodu na serwerze.

CVE-2020-37082
Critical

webERP w wersji 4.15.1 zawiera podatność na nieautoryzowany dostęp do plików, która pozwala zdalnym atakującym na pobieranie plików kopii zapasowej bazy danych bez uwierzytelnienia. Atakujący mogą bezpośrednio uzyskać dostęp do wygenerowanych plików kopii zapasowej w katalogu companies/weberp/ poprzez żądanie pliku Backup_[timestamp].sql.gz.

CVE-2020-37080
Critical

webTareas w wersji 2.0.p8 zawiera podatność na usuwanie plików w komponencie administracyjnym print_layout.php, która pozwala uwierzytelnionym atakującym na usuwanie dowolnych plików. Atakujący mogą wykorzystać tę podatność, manipulując parametrem 'atttmp1', aby określić i usunąć pliki na serwerze.

CVE-2020-37075
Critical

LanSend 3.2 zawiera podatność na przepełnienie bufora w funkcjonalności importu plików w kreatorze dodawania komputerów, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy plik ładunku, aby wywołać nadpisanie strukturalnego obsługiwacza wyjątków (SEH) i wykonać kod powłoki podczas importowania komputerów z pliku.

CVE-2020-37074
Critical

Remote Desktop Audit w wersji 2.3.0.157 zawiera podatność na przepełnienie bufora, która umożliwia atakującym wykonanie dowolnego kodu podczas procesu importu plików w kreatorze dodawania komputerów. Atakujący mogą stworzyć złośliwy plik ładunku, aby wywołać obejście strukturalnego obsługiwacza wyjątków (SEH) i wykonać kod powłoki podczas importowania list komputerów.

CVE-2020-37071
Critical

Wtyczka vCard w CraftCMS 3 w wersji 1.0.0 zawiera podatność na deserializację, która pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu PHP poprzez spreparowany ładunek. Atakujący mogą wygenerować złośliwy, zserializowany ładunek, który wywołuje zdalne wykonanie kodu, wykorzystując funkcjonalność pobierania vCard wtyczki.

PreviousPage 180 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS