CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
An SQL Injection vulnerability in the GetServiceByRestaurantID endpoint of the Aptsys gemscms POS Platform (up to 2025-05-28) allows an attacker to inject and execute arbitrary SQL code via the id parameter due to lack of input sanitization and parameterization.
A vulnerability in the Aptsys POS Platform Web Services module through 2025-05-28 exposes internal API testing tools to unauthenticated users. By accessing specific URLs, an attacker sees a directory index listing all backend and POS web services, each with an HTML form for test input. These developer panels are accessible in production without authentication.
Wersja 4.5.0 SpringBlade zawiera błąd w kontroli dostępu w funkcji authRoutes, który pozwala atakującym z niskimi uprawnieniami na eskalację uprawnień.
Wersje SmarterTools SmarterMail przed wersją 9511 zawierają podatność na zdalne wykonanie kodu bez uwierzytelnienia w metodzie API ConnectToHub. Atakujący może skierować SmarterMail na złośliwy serwer HTTP, który dostarcza złośliwe polecenie systemowe, które zostanie wykonane przez podatną aplikację.
W Dynamicweb przed wersją 9.12.8 odkryto problem, który pozwala atakującemu na dodanie nowego użytkownika administratora bez autoryzacji. Wadliwość ta wynika z błędu logicznego przy określaniu, czy etapy konfiguracji produktu mogą być uruchamiane ponownie.
Unified Remote w wersji 3.9.0.2463 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wysyłanie spreparowanych pakietów sieciowych w celu wykonania dowolnych poleceń. Atakujący mogą wykorzystać tę podatność, łącząc się z portem 9512 i wysyłając specjalnie przygotowane pakiety.
W wersji 1.4.0 Free5gc NRF odkryto problem w logice generowania tokenów dostępu. Funkcja AccessTokenScopeCheck() w pliku internal/sbi/processor/access_token.go omija wszelką walidację zakresu, gdy atakujący użyje spreparowanej wartości targetNF, co pozwala na uzyskanie tokena dostępu z dowolnym zakresem.
Podatność CVE-2025-4320 dotyczy mechanizmu odzyskiwania hasła w oprogramowaniu Sufirmam firmy Birebirsoft, który umożliwia obejście uwierzytelniania. Słaby mechanizm odzyskiwania hasła dla zapomnianego hasła stwarza możliwość wykorzystania tej luki.
Podatność w oprogramowaniu Sufirmam firmy Birebirsoft Software and Technology Solutions polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia oraz słabym mechanizmie odzyskiwania hasła. Umożliwia to ataki typu brute force oraz wykorzystanie mechanizmu odzyskiwania hasła.
IAQS i I6 opracowane przez JNC mają lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na bezpośrednie korzystanie z funkcji administracyjnych systemu.
IAQS i I6 opracowane przez JNC mają podatność na wymuszanie zabezpieczeń po stronie serwera z poziomu klienta, co pozwala nieautoryzowanym atakującym zdalnym na uzyskanie uprawnień administratora poprzez manipulację interfejsem webowym.
Podatność CVE-2026-0794 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku walidacji istnienia obiektu przed wykonaniem operacji na nim w kontekście obsługi połączeń SIP.
Podatność CVE-2026-0793 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora w pamięci dynamicznej, co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji długości danych dostarczanych przez użytkownika przed ich skopiowaniem do bufora.
Podatność CVE-2026-0792 dotyczy urządzeń ALGO 8180 IP Audio Alerter i polega na przepełnieniu bufora na stosie w trakcie obsługi nagłówka Alert-Info w żądaniach SIP INVITE. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na podatnych instalacjach bez potrzeby uwierzytelnienia.
Podatność CVE-2026-0791 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z niewłaściwego sprawdzania długości danych dostarczanych przez użytkownika w nagłówku Replaces żądania SIP INVITE.
Podatność CVE-2026-0787 dotyczy urządzeń ALGO 8180 IP Audio Alerter i pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0773 w Upsonic umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem występuje w punkcie końcowym add_tool, który domyślnie nasłuchuje na porcie TCP 7541, a jego przyczyną jest brak odpowiedniej walidacji danych dostarczanych przez użytkowników.
Podatność CVE-2026-0770 w Langflow pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem dotyczy parametru exec_globals przekazywanego do punktu końcowego validate, co prowadzi do włączenia zasobu z nieufnej sfery kontrolnej.
Podatność CVE-2026-0769 dotyczy funkcji eval_custom_component_code w Langflow, która pozwala na zdalne wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji łańcucha dostarczonego przez użytkownika przed jego użyciem do wykonania kodu Pythona.
Podatność CVE-2026-0768 dotyczy Langflow i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.

