CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie gospodarza bez potrzeby uwierzytelnienia.
W systemie SolarWinds Web Help Desk zidentyfikowano podatność na obejście uwierzytelnienia, która, jeśli zostanie wykorzystana, pozwala złośliwemu użytkownikowi na wykonywanie działań i metod, które powinny być chronione przez uwierzytelnienie.
SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie hosta bez potrzeby uwierzytelnienia.
Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach przed 0.26.6 występuje krytyczna podatność na wstrzyknięcie poleceń w punkcie końcowym WebSocket `/docker-container-terminal`, gdzie parametry `containerId` i `activeWay` są interpolowane bez sanitizacji, co pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń na serwerze hosta.
DNN (wcześniej DotNetNuke) to otwartoźródłowa platforma zarządzania treścią w ekosystemie Microsoft. W wersjach przed 9.13.10 i 10.2.0 tytuł modułu wspierał richtext, co mogło prowadzić do wykonania skryptów w określonych scenariuszach. Wersje 9.13.10 i 10.2.0 zawierają poprawkę dla tego problemu.
Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.
SandboxJS to biblioteka do sandboxingu JavaScript. Wersje przed 0.8.26 mają podatność na ucieczkę z sandboxa z powodu braku izolacji `AsyncFunction` w `SandboxFunction`, co pozwala na nieautoryzowany dostęp do globalnych funkcji.
Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 9.0.3 występowała luka, która pozwalała użytkownikowi z ograniczeniami opartymi na etykietach uzyskać interaktywną powłokę root w kontenerach spoza zakresu, celując bezpośrednio w ich identyfikatory kontenerów.
Squidex to otwartoźródłowy system zarządzania treścią, który w wersjach do 7.21.0 pozwala użytkownikom definiować 'Webhooks' w silniku reguł. Parametr url w konfiguracji webhooka nie weryfikuje ani nie ogranicza adresów IP, co umożliwia wykorzystanie lokalnych adresów, takich jak 127.0.0.1. W momencie wyzwolenia reguły, serwer backendowy wykonuje żądanie HTTP do dostarczonego przez użytkownika URL, co prowadzi do ujawnienia pełnej odpowiedzi HTTP w logach wykonania reguły.
Podatność typu Bypass uwierzytelnienia w routerze Session Smart firmy Juniper Networks pozwala atakującemu z sieci na ominięcie uwierzytelnienia i przejęcie kontroli administracyjnej nad urządzeniem. Dotyczy to różnych wersji routerów i conductorów Session Smart oraz routerów zarządzanych WAN Assurance.
In Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy, and FortiWeb, there is an authentication bypass vulnerability that allows an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts if FortiCloud SSO authentication is enabled on those devices.
Kyverno, silnik polityk dla zespołów inżynieryjnych platform chmurowych, ma krytyczną lukę w autoryzacji w wersjach przed 1.16.3 i 1.15.3. Umożliwia ona użytkownikom z odpowiednimi uprawnieniami do tworzenia polityk w przestrzeni nazw na wykonywanie żądań API Kubernetes z tożsamością kontrolera przyjęć Kyverno, co narusza izolację przestrzeni nazw.
System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExAddNewUser.php. Wrażliwe parametry to Name, Address, email, UserName, Password, confirm_password, Role, Branch oraz Activate.
System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExLogin.php poprzez parametr Password.
System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /insertmessage.php poprzez parametr userid.
System księgarni komputerowej code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku admin_add.php. Umożliwia to nieautoryzowanym użytkownikom przesyłanie złośliwych plików na serwer.
Podatność typu 'Type Confusion' w xray-monolith umożliwia dostęp do zasobów przy użyciu niekompatybilnego typu. Problem ten dotyczy wersji xray-monolith przed 30 grudnia 2025 roku.
Podatność CVE-2026-24872 dotyczy niewłaściwej arytmetyki wskaźników w projekcie ProjectSkyfire w wersji SkyFire_548 przed 5.4.8-stable5. Może to prowadzić do nieprzewidzianych zachowań aplikacji.
W podatności CVE-2026-24832 występuje błąd zapisu poza granicami w ixray-team ixray-1.6-stcop, który dotyczy wersji przed 1.3. Może to prowadzić do nieautoryzowanego dostępu do pamięci.
System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku /ExAddProduct.php.

