CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność CVE-2026-0764 dotyczy deserializacji niezaufanych danych w aplikacji GPT Academic, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji danych dostarczanych przez użytkowników w punkcie końcowym przesyłania.
Podatność CVE-2026-0763 dotyczy funkcji run_in_subprocess_wrapper_func w GPT Academic, gdzie brak odpowiedniej walidacji danych dostarczanych przez użytkownika prowadzi do deserializacji niezaufanych danych. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.
Podatność CVE-2026-0761 dotyczy wstrzykiwania kodu w funkcji actionoutput_str_to_mapping w Foundation Agents MetaGPT, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.
Podatność CVE-2026-0760 dotyczy funkcji deserialize_message w Foundation Agents MetaGPT, która nieprawidłowo waliduje dane dostarczane przez użytkowników. W wyniku tego atakujący może zdalnie wykonać dowolny kod na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.
Podatność w Katana Network Development Starter Kit umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0756 dotyczy serwera github-kanban-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru create_issue przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2026-0755 dotyczy narzędzia gemini-mcp-tool i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność CVE-2025-15063 dotyczy serwera Ollama MCP i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Podatność w serwerze Framelink Figma MCP związana z metodą fetchWithRetry umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.
Nieprawidłowa kontrola dostępu w Azure Resource Manager umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.
Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.
Nieprawidłowa walidacja określonego typu danych wejściowych w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.
Nieprawidłowa kontrola dostępu w Azure Front Door (AFD) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.
Podatność w Azure Entra ID umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż te, które powinny być mu przyznane.
Dragonfly to system dystrybucji plików i przyspieszania obrazów oparty na P2P. W wersjach 2.4.1-rc.0 i poniżej, punkty końcowe API Job (/api/v1/jobs) nie mają middleware autoryzacji JWT oraz kontroli autoryzacji RBAC, co pozwala nieautoryzowanym użytkownikom na przeglądanie, aktualizowanie i usuwanie zadań.
W Microsoft Account występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki atak umożliwia nieautoryzowanemu napastnikowi przeprowadzenie oszustwa w sieci.
Podatność występuje, gdy punkt końcowy WebSocket nie egzekwuje odpowiednich mechanizmów uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na nawiązywanie połączeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych lub wykonywania nieautoryzowanych działań.
Soft Serve to samodzielny serwer Git do obsługi z linii poleceń. Wersje 0.11.2 i wcześniejsze mają krytyczną podatność na obejście uwierzytelniania, która pozwala atakującemu na podszycie się pod dowolnego użytkownika (w tym administratora) poprzez 'ofertę' publicznego klucza ofiary podczas handshake'u SSH przed uwierzytelnieniem własnym ważnym kluczem.
A vulnerability in Gitea allows improper linking of attachments to releases due to missing validation of repository ownership. An attachment uploaded to a private repository could be linked to a release in a different public repository, leading to unauthorized access.
A vulnerability in Gitea allows a user with write access to a repository to delete LFS locks belonging to other repositories. The issue stems from improper validation of repository ownership when deleting Git LFS locks.

