CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
xrdp to otwartoźródłowy serwer RDP. W wersjach przed 0.10.5 występuje podatność na przepełnienie bufora na stosie, wynikająca z niewłaściwego sprawdzania granic podczas przetwarzania informacji o domenie użytkownika. W przypadku wykorzystania tej podatności, zdalni atakujący mogą wykonać dowolny kod na docelowym systemie.
Dirsearch w wersji 0.4.1 zawiera podatność na wstrzykiwanie CSV, gdy używana jest flaga --csv-report. Umożliwia to atakującym wstrzykiwanie formuł przez przekierowane punkty końcowe.
Wersje Gila CMS przed 2.0.0 zawierają podatność na zdalne wykonanie kodu, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń systemowych poprzez manipulowane nagłówki HTTP. Atakujący mogą wstrzykiwać kod PHP w nagłówku User-Agent, wykorzystując shell_exec() do uruchamiania poleceń systemowych, wysyłając odpowiednio skonstruowane żądania do punktu końcowego administratora.
VestaCP w wersji 0.9.8-26 zawiera podatność na token sesji w module LoginAs, która pozwala zdalnym atakującym na manipulację tokenami uwierzytelniającymi. Atakujący mogą wykorzystać niewystarczającą walidację tokenów do uzyskania dostępu do kont użytkowników i wykonywania nieautoryzowanych żądań logowania bez odpowiednich uprawnień administracyjnych.
Knockpy w wersji 4.1.1 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wstrzykiwanie złośliwych formuł do raportów CSV poprzez nieprzefiltrowane nagłówki serwera. Atakujący mogą manipulować nagłówkami odpowiedzi serwera, aby zawierały formuły arkusza kalkulacyjnego, które zostaną wykonane po otwarciu CSV w aplikacjach arkuszy kalkulacyjnych.
Easy CD & DVD Cover Creator w wersji 4.13 zawiera podatność na przepełnienie bufora w polu wprowadzania numeru seryjnego, co pozwala atakującym na awarię aplikacji. Atakujący mogą wygenerować 6000-bajtowy ładunek i wkleić go do pola numeru seryjnego, co prowadzi do awarii aplikacji.
W podatności CVE-2026-24830 występuje przepełnienie lub owinięcie liczb całkowitych w systemie Ralim IronOS, które dotyczy wersji przed v2.23-rc2.
Wykorzystanie znanych domyślnych poświadczeń w interfejsie administracyjnym EZCast Pro II w wersji 1.17478.146 umożliwia atakującym dostęp do chronionych obszarów aplikacji webowej.
Podatność w projekcie root (moduły builtins/zlib) związana z plikami programowymi inffast.C. Problem ten dotyczy oprogramowania root.
Podatność CVE-2026-24793 dotyczy błędu zapisu poza granicami w module zlib w azerothcore-wotlk, co prowadzi do klasycznego przepełnienia bufora. Problem ten występuje w plikach programu inflate.C i dotyczy wersji azerothcore-wotlk do v4.0.0.
HUSTOF to otwartoźródłowy system oceny online oparty na PHP/C++/MySQL/Linux, używany w treningach ACM/ICPC i NOIP. W wersjach przed 26.01.24 moduły problem_import_qduoj.php i problem_import_hoj.php nieprawidłowo sanitizują nazwy plików w przesyłanych archiwach ZIP, co umożliwia atakującym wykonanie złośliwego kodu.
W wersjach od 1.4.0 do 3.27.7 biblioteki AssertJ występuje podatność typu XML External Entity (XXE) w metodzie `toXmlDocument(String)` klasy `XmlStringPrettyFormatter`. Problem polega na tym, że `DocumentBuilderFactory` jest inicjowany z domyślnymi ustawieniami, co nie wyłącza DTD ani zewnętrznych encji.
vm2 to otwarte źródło vm/sandbox dla Node.js. W wersjach przed 3.10.2, sanizacja callbacków `Promise.prototype.then` i `Promise.prototype.catch` może zostać ominięta, co pozwala atakującym na ucieczkę z sandboxa i uruchomienie dowolnego kodu.
Wersja 4.5.0 SpringBlade zawiera nieprawidłowe zabezpieczenia dostępu w funkcji importUser, co pozwala atakującym z niskimi uprawnieniami na dowolne importowanie wrażliwych danych użytkowników.
Wtyczka Kalrav AI Agent dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w akcji AJAX kalrav_upload_file we wszystkich wersjach do i włącznie z 2.3.3. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
ChatterMate to framework agenta czatu AI bez kodu. W wersjach 1.0.8 i poniżej, chatbot akceptuje i wykonuje złośliwe ładunki HTML/JavaScript dostarczane jako wejście czatu, co pozwala na dostęp do wrażliwych danych po stronie klienta.
A hard-coded cryptographic key vulnerability in Salesforce Marketing Cloud Engagement allows for web services protocol manipulation. This issue affects modules such as CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center, and View As Webpage.
Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w Salesforce Marketing Cloud Engagement umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy modułów takich jak CloudPages, Forward to a Friend, Profile Center, Subscription Center, Unsub Center oraz View As Webpage i występuje przed 21 stycznia 2026 roku.
Podatność CVE-2026-22583 dotyczy niewłaściwej neutralizacji ograniczników argumentów w komendzie, co prowadzi do możliwości manipulacji protokołem usług internetowych w module CloudPagesUrl Salesforce Marketing Cloud Engagement. Problem ten dotyczy wersji przed 21 stycznia 2026 roku.
Podatność CVE-2026-22582 dotyczy niewłaściwej neutralizacji ograniczników argumentów w module MicrositeUrl Salesforce Marketing Cloud Engagement, co umożliwia manipulację protokołem usług internetowych. Problem ten dotyczy wersji Marketing Cloud Engagement przed 21 stycznia 2026 roku.

