CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Wykryto podatność w EIPStackGroup OpENer do wersji 2.3.0, dotycząca funkcji CreateMessageRouterRequestStructure w pliku cipmessagerouter.c komponentu SendRRData Handler. Manipulacja prowadzi do wykorzystania pamięci po jej zwolnieniu, co umożliwia zdalne wykorzystanie podatności.
W systemie rezerwacji łodzi online SourceCodester w wersji 1.0 wykryto podatność bezpieczeństwa. Dotyczy ona nieznanej funkcjonalności komponentu punktu administracyjnego, co prowadzi do niewłaściwej autoryzacji. Atak można przeprowadzić zdalnie.
Wtyczka EmergencyWP – Dead Man's switch & legacy deliverance dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji form_settings_ui, co umożliwia nieautoryzowanym atakującym modyfikację ustawień wtyczki.
Wtyczka Passeum Ticketing dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) we wszystkich wersjach do i włącznie z 1.0. Problem wynika z metody `get_shop_url()`, która zwraca wartość ustawienia `shop_name` bez sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez atakujących z dostępem na poziomie Administratora.
Zidentyfikowano słabość w kodzie johnhuang316 w wersjach do 2.14.0, dotyczącą funkcji is_safe_regex_pattern w komponencie search_code_advanced. Manipulacja argumentem regex może prowadzić do nieefektywnej złożoności wyrażeń regularnych, co umożliwia zdalne przeprowadzenie ataku.
W odkryto lukę bezpieczeństwa w wonderwhy-er DesktopCommanderMCP do wersji 0.2.38, która dotyczy nieznanej funkcji pliku src/search-manager.ts komponentu start_search. Manipulacja argumentem SearchResult[] prowadzi do nieefektywnej złożoności wyrażeń regularnych.
Zidentyfikowano podatność w wonderwhy-er DesktopCommanderMCP w wersji 0.2.37, która dotyczy funkcji readFileFromUrl w pliku src/tools/filesystem.ts. Manipulacja argumentem url prowadzi do ataku typu server-side request forgery.
W wersjach LibreChat do 0.8.3, użytkownicy z dostępem tylko do `VIEW` mogą uzyskać odszyfrowane sekrety zarządzane przez administratora serwera MCP poprzez odpowiednie zapytania API. Zwracana konfiguracja zawiera wartości w postaci tekstu jawnego dla `apiKey.key` oraz `oauth.client_secret`.
Funkcje w pakiecie net/textproto, podczas zwracania błędów, mogą dołączać dane wejściowe jako część komunikatu o błędzie. To może umożliwić atakującemu wstrzyknięcie mylącej treści do błędów, które są drukowane lub rejestrowane.
alf.io to otwartoźródłowy system rezerwacji biletów na konferencje, targi, warsztaty i spotkania. W wersjach przed 2.0-M5-2606, rozszerzenie alf.io wstrzykuje w pełni funkcjonalnego klienta HTTP do każdego skryptu rozszerzenia, co pozwala na odczyt dowolnych plików z systemu plików bez walidacji ścieżki.
A vulnerability in the Go x509 library causes quadratic verification cost when validating hostnames against certificates with many DNS SAN entries. The VerifyHostname function repeatedly calls strings.Split on the same hostname, leading to overhead.
QloApps w wersji do 1.7.0 zawiera podatność na słaby algorytm kryptograficzny, który umożliwia atakującym kompromitację danych uwierzytelniających użytkowników. Wykorzystuje on MD5 do haszowania haseł w funkcji Tools::encrypt(), co ułatwia przeprowadzenie ataków brute-force na hashe MD5.
W openSeaChest w wersji 26.03.0 firmy Seagate występuje błąd zapisu poza przydzieloną pamięcią podczas operacji Trim/Unmap. Umożliwia to zapisanie dodatkowych 16 bajtów pamięci poza przydzieloną przestrzenią podczas wykonywania tej operacji.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji execute_blender_code w pliku /src/blender_mcp/server.py, gdzie manipulacja argumentem code prowadzi do wstrzyknięcia kodu. Atak może być przeprowadzony zdalnie.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji requests.get w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem zip_file_url prowadzi do ataku typu server-side request forgery.
OpenCTI to platforma open source do zarządzania wiedzą o zagrożeniach cybernetycznych. Wersje przed 7.260227.0 są podatne na ataki XSS w renderowaniu danych z ciała wiadomości e-mail, ponieważ pole to nie jest odpowiednio oczyszczane. Wymaga interakcji użytkownika, ale może być wykorzystane przez osoby dzielące się stix lub innymi narzędziami do wczytywania danych.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji Open w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem input_image_url prowadzi do możliwości wstrzyknięcia kodu. Możliwe jest zdalne wykorzystanie tej podatności.
W bibliotece warmcat libwebsockets do wersji 4.5.8 znaleziono lukę, która dotyczy funkcji lws_ssh_parse_plaintext w pliku plugins/protocol_lws_ssh_base/sshd.c. Manipulacja argumentem msg_len może prowadzić do nadmiernego zużycia zasobów, a atak może być przeprowadzony zdalnie.
Stacje anestezjologiczne Dräger Zeus Infinity Empowered (Zeus IE) oraz Zeus RS C500 zawierają lokalną podatność bezpieczeństwa, która umożliwia nieautoryzowanym osobom z dostępem fizycznym do kompromitacji integralności oprogramowania poprzez manipulację interfejsem USB. Atakujący mogą wykorzystać niechronione interfejsy USB do zakłócania funkcji terapeutycznych oraz manipulacji danymi przetwarzanymi przez urządzenie.
BrowserStack Runner w wersji do 0.9.5 zawiera podatność typu path traversal w domyślnym handlerze HTTP w pliku lib/server.js, która pozwala nieautoryzowanym atakującym na odczyt dowolnych plików. Atakujący mogą wykorzystać nieautoryzowany serwer HTTP, aby przejść poza katalog główny projektu i uzyskać dostęp do wrażliwych plików.

