CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
CloudMe w wersji 1.11.2 zawiera podatność na przepełnienie bufora, która umożliwia zdalnym atakującym wykonanie dowolnego kodu poprzez spreparowane pakiety sieciowe. Atakujący mogą wykorzystać tę podatność, wysyłając specjalnie przygotowany ładunek do usługi CloudMe działającej na porcie 8888.
Konica Minolta FTP Utility w wersji 1.0 zawiera podatność na przepełnienie bufora w komendzie NLST, co pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co prowadzi do awarii serwera FTP i potencjalnego wykonania nieautoryzowanego kodu.
Konica Minolta FTP Utility 1.0 zawiera podatność na przepełnienie bufora w komendzie LIST, która pozwala atakującym na nadpisanie rejestrów systemowych. Atakujący mogą wysłać zbyt duży bufor składający się z 1500 znaków 'A', co może spowodować awarię serwera FTP oraz potencjalne wykonanie nieautoryzowanego kodu.
Serwer FTP Filetto w wersji 1.0 zawiera podatność na atak typu denial of service w przetwarzaniu komendy FEAT, co pozwala atakującym na zablokowanie usługi. Atakujący mogą wysłać zbyt dużą komendę FEAT o długości 11 008 bajtów, co prowadzi do przepełnienia bufora i zakończenia działania usługi FTP.
GoldWave 5.70 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez przygotowanie złośliwego wejścia w oknie dialogowym Otwórz plik URL. Atakujący mogą stworzyć specjalnie przygotowany plik tekstowy z kodem powłoki zakodowanym w Unicode, aby wywołać przepełnienie stosu i wykonać polecenia po otwarciu pliku.
Wersja 2.6 StreamRipper32 zawiera podatność na przepełnienie bufora w sekcji Stacja/Piosenka, która pozwala atakującym na nadpisanie pamięci poprzez manipulację wejściem SongPattern. Atakujący mogą stworzyć złośliwy ładunek przekraczający 256 bajtów, co potencjalnie umożliwia wykonanie dowolnego kodu i kompromitację aplikacji.
Fast DDS to implementacja standardu DDS (Data Distribution Service) w C++. W wersjach przed 3.4.1, 3.3.1 i 2.6.11 występuje przepełnienie bufora na stercie w ścieżce odbioru DATA_FRAG. Nieautoryzowany nadawca może przesłać złośliwy pakiet RTPS DATA_FRAG, co prowadzi do awarii systemu (DoS) i potencjalnie umożliwia korupcję pamięci.
W funkcjonalności logowania aplikacji Fikir Odalari AdminPando w wersji 1.0.1 przed 2026-01-26 występuje podatność na wstrzykiwanie SQL. Parametry nazwy użytkownika i hasła są podatne na atak, co pozwala nieautoryzowanym atakującym na całkowite ominięcie procesu uwierzytelniania.
W frameworku PEAR przed wersją 1.33.0 występuje nieautoryzowana podatność na wstrzykiwanie SQL w punkcie końcowym /get/<package>/<version>, co pozwala zdalnym atakującym na wykonanie dowolnych zapytań SQL poprzez odpowiednio skonstruowaną wersję pakietu. Problem został naprawiony w wersji 1.33.0.
W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL w metodzie user::maintains(), gdy filtry ról były przekazywane jako tablica i interpolowane w klauzuli IN (...). Problem został naprawiony w wersji 1.33.0.
PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0 występowała podatność na wstrzykiwanie SQL w procesie usuwania subskrypcji błędów, co mogło pozwolić atakującym na wstrzyknięcie SQL za pomocą spreparowanej wartości e-mail.
PEAR to framework i system dystrybucji komponentów PHP. Przed wersją 1.33.0, użycie preg_replace() z modyfikatorem /e w obsłudze e-maili dotyczących aktualizacji błędów może umożliwić wykonanie kodu PHP, jeśli do ocenianego zamiennika dotrze treść kontrolowana przez atakującego. Problem został naprawiony w wersji 1.33.0.
W wersjach przed 1.33.0 frameworka PEAR występuje ryzyko wstrzyknięcia SQL w zapytaniach karma z powodu niebezpiecznej substytucji literałów w liście IN (...). Problem ten został naprawiony w wersji 1.33.0.
W frameworku PEAR, przed wersją 1.33.0, występowała podatność na wstrzyknięcie SQL podczas usuwania kategorii. Atakujący z dostępem do workflow zarządzania kategoriami mógł wstrzyknąć SQL za pomocą identyfikatora kategorii.
W wersjach przed 1.33.0 frameworka PEAR występuje błąd logiczny w sprawdzaniu ról, który pozwala osobom niebędącym głównymi opiekunami na tworzenie, aktualizowanie lub usuwanie map drogowych. Problem ten został naprawiony w wersji 1.33.0.
Dokans Multi-Tenancy Based eCommerce Platform SaaS w wersji 3.9.2 pozwala nieautoryzowanym zdalnym atakującym na uzyskanie wrażliwych danych konfiguracyjnych aplikacji poprzez bezpośrednie żądanie do pliku /script/.env. Ujawniony plik zawiera klucz szyfrowania aplikacji Laravel (APP_KEY), dane uwierzytelniające bazy danych, dane uwierzytelniające SMTP/SendGrid oraz wewnętrzne parametry konfiguracyjne.
FUXA w wersji 1.2.7 umożliwia zdalne wykonanie kodu (RCE) poprzez funkcjonalność importu projektów. Aplikacja nieprawidłowo oczyszcza ani nie izoluje skryptów dostarczonych przez użytkowników w importowanych plikach projektów.
FUXA w wersji 1.2.7 zawiera podatność na nieograniczone przesyłanie plików w punkcie końcowym API `/api/upload`. Brak mechanizmów uwierzytelniania pozwala nieautoryzowanym zdalnym atakującym na przesyłanie dowolnych plików.
FUXA w wersji 1.2.7 zawiera podatność na twardo zakodowane poświadczenia w pliku server/api/jwt-helper.js. Aplikacja używa twardo zakodowanego klucza tajnego do podpisywania i weryfikacji tokenów JWT, co pozwala zdalnym atakującym na fałszowanie ważnych tokenów administratora i ominięcie uwierzytelnienia.
FUXA w wersji 1.2.7 zawiera podatność na niebezpieczną domyślną konfigurację w pliku server/settings.default.js. Flaga 'secureEnabled' jest domyślnie zakomentowana, co powoduje, że aplikacja uruchamia się z wyłączoną autoryzacją.

