CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
CloudburstMC Protocol to biblioteka protokołów dla Minecraft Bedrock Edition. W wersjach przed 3.0.0.Beta12-20260420.182526-15 występuje częściowy brak walidacji tokenów autoryzacyjnych typu FULL, co może prowadzić do nieautoryzowanego dostępu.
W wersjach przed 2026.2.3, dostawca WS-Federation w authentik weryfikuje parametr wreply użytkownika za pomocą prostego sprawdzenia prefiksu, zamiast właściwego parsowania URL. Atakujący może stworzyć link logowania, który umożliwia podanie wartości wreply z innego źródła, co prowadzi do wysłania odpowiedzi logowania WS-Federation do infrastruktury kontrolowanej przez atakującego.
W systemie SourceCodester Human Resource Management w wersji 1.0 odkryto podatność w nieznanej funkcjonalności pliku /detailview.php, dotyczącej strony widoku pracownika. Manipulacja argumentem employeeid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.
Wtyczka ARMember Premium dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'sSortDir_0' w akcji AJAX `get_private_content_data` we wszystkich wersjach do i włącznie z 7.3.1. Problem wynika z niewystarczającej sanitizacji parametru dostarczonego przez użytkownika, który jest bezpośrednio łączony w klauzuli ORDER BY zapytania SQL bez sprawdzenia białej listy.
FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na odczyt poza granicami w parserze pakietów IPv4. Problem występuje w src/simple_packet_parser_ng.cpp, gdzie po walidacji długości pakietu, wskaźnik lokalny jest przesuwany bez odpowiedniej walidacji wartości IHL, co może prowadzić do nadmiernego odczytu pamięci.
React Router, używany w aplikacjach React, ma podatność na otwarte przekierowania w wersjach od 7.0.0 do 7.14.0 oraz od 6.7.0 do 6.30.3. Przekazywanie określonych URL-i do funkcji przekierowania może prowadzić do nieautoryzowanego przekierowania na zewnętrzne domeny, jeśli wartości ścieżek zaczynają się od //. Problem ten nie dotyczy aplikacji korzystających z trybu deklaratywnego (<BrowserRouter>).
Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.
In the AIOHTTP library before version 3.14.0, a vulnerability allows arbitrary code execution when loading untrusted data via the ``CookieJar.load()`` function. The issue primarily affects applications that allow loading attacker-controlled files.
CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.
Podatność typu Cross Site Scripting w aplikacji usememos Memos w wersji 0.26.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez strony SANITIZE_SCHEMA, komponent renderowania notatek oraz widok notatek publicznych/prywatnych.
A JIT miscompilation vulnerability exists in the JavaScript Engine of Firefox, which may lead to unexpected behavior or potential security compromise. This issue was fixed in Firefox version 151.0.3.
Zidentyfikowano słabość w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji TeamTasksTool.executeComplete w pliku internal/tools/team_tasks_lifecycle.go, co może prowadzić do braku autoryzacji podczas manipulacji.
Serwer proxy w Graph Explorer przed wersją 3.0.1 przechodzi na HTTP, gdy brakuje plików certyfikatów, co może umożliwić zdalnym atakującym uzyskanie poufnych informacji poprzez przechwytywanie żądań, które miały być wysyłane przez HTTPS.
Dräger Atlan A350 versions 1.00 up to and including 1.01 contains an improper input handling vulnerability that allows attackers to cause a denial of service by sending specifically crafted non-Medibus-compliant data through the Medibus interface. Attackers can transmit malformed data to overload the internal processor.
Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.
Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.
Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.
W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.
OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.
Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

