CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-40553
Critical

SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie gospodarza bez potrzeby uwierzytelnienia.

CVE-2025-40552
Critical

W systemie SolarWinds Web Help Desk zidentyfikowano podatność na obejście uwierzytelnienia, która, jeśli zostanie wykorzystana, pozwala złośliwemu użytkownikowi na wykonywanie działań i metod, które powinny być chronione przez uwierzytelnienie.

CVE-2025-40551
Critical

SolarWinds Web Help Desk jest podatny na lukę w deserializacji niezaufanych danych, co może prowadzić do zdalnego wykonania kodu. Atakujący może uruchomić polecenia na maszynie hosta bez potrzeby uwierzytelnienia.

CVE-2026-24841
Critical

Dokploy to darmowa, samodzielnie hostowana platforma jako usługa (PaaS). W wersjach przed 0.26.6 występuje krytyczna podatność na wstrzyknięcie poleceń w punkcie końcowym WebSocket `/docker-container-terminal`, gdzie parametry `containerId` i `activeWay` są interpolowane bez sanitizacji, co pozwala uwierzytelnionym atakującym na wykonywanie dowolnych poleceń na serwerze hosta.

CVE-2026-24838
Critical

DNN (wcześniej DotNetNuke) to otwartoźródłowa platforma zarządzania treścią w ekosystemie Microsoft. W wersjach przed 9.13.10 i 10.2.0 tytuł modułu wspierał richtext, co mogło prowadzić do wykonania skryptów w określonych scenariuszach. Wersje 9.13.10 i 10.2.0 zawierają poprawkę dla tego problemu.

CVE-2026-24785
Critical

Clatter to zgodna z no_std, czysta implementacja protokołu Noise w języku Rust z wsparciem dla post-kwantowego. Wersje przed 2.2.0 mają podatność na niezgodność protokołu, która pozwalała na użycie kluczy pochodzących z PSK bez odpowiedniej randomizacji, co osłabia gwarancje bezpieczeństwa.

CVE-2026-23830
Critical

SandboxJS to biblioteka do sandboxingu JavaScript. Wersje przed 0.8.26 mają podatność na ucieczkę z sandboxa z powodu braku izolacji `AsyncFunction` w `SandboxFunction`, co pozwala na nieautoryzowany dostęp do globalnych funkcji.

CVE-2026-24740
Critical

Dozzle to narzędzie do podglądu logów w czasie rzeczywistym dla kontenerów Docker. W wersjach przed 9.0.3 występowała luka, która pozwalała użytkownikowi z ograniczeniami opartymi na etykietach uzyskać interaktywną powłokę root w kontenerach spoza zakresu, celując bezpośrednio w ich identyfikatory kontenerów.

CVE-2026-24736
Critical

Squidex to otwartoźródłowy system zarządzania treścią, który w wersjach do 7.21.0 pozwala użytkownikom definiować 'Webhooks' w silniku reguł. Parametr url w konfiguracji webhooka nie weryfikuje ani nie ogranicza adresów IP, co umożliwia wykorzystanie lokalnych adresów, takich jak 127.0.0.1. W momencie wyzwolenia reguły, serwer backendowy wykonuje żądanie HTTP do dostarczonego przez użytkownika URL, co prowadzi do ujawnienia pełnej odpowiedzi HTTP w logach wykonania reguły.

CVE-2025-21589
Critical

Podatność typu Bypass uwierzytelnienia w routerze Session Smart firmy Juniper Networks pozwala atakującemu z sieci na ominięcie uwierzytelnienia i przejęcie kontroli administracyjnej nad urządzeniem. Dotyczy to różnych wersji routerów i conductorów Session Smart oraz routerów zarządzanych WAN Assurance.

CVE-2026-24858
CriticalActively exploitedEPSS 90%

In Fortinet FortiAnalyzer, FortiManager, FortiNAC-F, FortiOS, FortiProxy, and FortiWeb, there is an authentication bypass vulnerability that allows an attacker with a FortiCloud account and a registered device to log into other devices registered to other accounts if FortiCloud SSO authentication is enabled on those devices.

CVE-2026-22039
Critical

Kyverno, silnik polityk dla zespołów inżynieryjnych platform chmurowych, ma krytyczną lukę w autoryzacji w wersjach przed 1.16.3 i 1.15.3. Umożliwia ona użytkownikom z odpowiednimi uprawnieniami do tworzenia polityk w przestrzeni nazw na wykonywanie żądań API Kubernetes z tożsamością kontrolera przyjęć Kyverno, co narusza izolację przestrzeni nazw.

CVE-2025-69564
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExAddNewUser.php. Wrażliwe parametry to Name, Address, email, UserName, Password, confirm_password, Role, Branch oraz Activate.

CVE-2025-69563
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /ExLogin.php poprzez parametr Password.

CVE-2025-69562
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak typu SQL Injection w pliku /insertmessage.php poprzez parametr userid.

CVE-2025-69559
Critical

System księgarni komputerowej code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku admin_add.php. Umożliwia to nieautoryzowanym użytkownikom przesyłanie złośliwych plików na serwer.

CVE-2026-24874
Critical

Podatność typu 'Type Confusion' w xray-monolith umożliwia dostęp do zasobów przy użyciu niekompatybilnego typu. Problem ten dotyczy wersji xray-monolith przed 30 grudnia 2025 roku.

CVE-2026-24872
Critical

Podatność CVE-2026-24872 dotyczy niewłaściwej arytmetyki wskaźników w projekcie ProjectSkyfire w wersji SkyFire_548 przed 5.4.8-stable5. Może to prowadzić do nieprzewidzianych zachowań aplikacji.

CVE-2026-24832
Critical

W podatności CVE-2026-24832 występuje błąd zapisu poza granicami w ixray-team ixray-1.6-stcop, który dotyczy wersji przed 1.3. Może to prowadzić do nieautoryzowanego dostępu do pamięci.

CVE-2025-69565
Critical

System zarządzania sklepem mobilnym code-projects w wersji 1.0 jest podatny na atak związany z przesyłaniem plików w pliku /ExAddProduct.php.

PreviousPage 185 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS