CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-0764
Critical

Podatność CVE-2026-0764 dotyczy deserializacji niezaufanych danych w aplikacji GPT Academic, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Problem wynika z braku odpowiedniej walidacji danych dostarczanych przez użytkowników w punkcie końcowym przesyłania.

CVE-2026-0763
Critical

Podatność CVE-2026-0763 dotyczy funkcji run_in_subprocess_wrapper_func w GPT Academic, gdzie brak odpowiedniej walidacji danych dostarczanych przez użytkownika prowadzi do deserializacji niezaufanych danych. Umożliwia to zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.

CVE-2026-0761
Critical

Podatność CVE-2026-0761 dotyczy wstrzykiwania kodu w funkcji actionoutput_str_to_mapping w Foundation Agents MetaGPT, co pozwala zdalnym atakującym na wykonanie dowolnego kodu. Wykorzystanie tej podatności nie wymaga uwierzytelnienia.

CVE-2026-0760
Critical

Podatność CVE-2026-0760 dotyczy funkcji deserialize_message w Foundation Agents MetaGPT, która nieprawidłowo waliduje dane dostarczane przez użytkowników. W wyniku tego atakujący może zdalnie wykonać dowolny kod na zainfekowanych instalacjach bez potrzeby uwierzytelnienia.

CVE-2026-0759
Critical

Podatność w Katana Network Development Starter Kit umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-0756
Critical

Podatność CVE-2026-0756 dotyczy serwera github-kanban-mcp-server i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji parametru create_issue przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-0755
Critical

Podatność CVE-2026-0755 dotyczy narzędzia gemini-mcp-tool i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu znaków dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2025-15063
Critical

Podatność CVE-2025-15063 dotyczy serwera Ollama MCP i pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2025-15061
Critical

Podatność w serwerze Framelink Figma MCP związana z metodą fetchWithRetry umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z braku odpowiedniej walidacji ciągu dostarczonego przez użytkownika przed jego użyciem do wykonania wywołania systemowego.

CVE-2026-24304
Critical

Nieprawidłowa kontrola dostępu w Azure Resource Manager umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24132
Critical

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje 7.19.0 i poniżej oraz 8.0.0-rc.0 do 8.0.2 pozwalają na wstrzykiwanie dowolnego kodu TypeScript/JavaScript do generowanych plików mockowych poprzez właściwości schematu z użyciem słowa kluczowego const.

CVE-2026-24307
Critical

Nieprawidłowa walidacja określonego typu danych wejściowych w M365 Copilot umożliwia nieautoryzowanemu atakującemu ujawnienie informacji przez sieć.

CVE-2026-24306
Critical

Nieprawidłowa kontrola dostępu w Azure Front Door (AFD) umożliwia nieautoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-24305
Critical

Podatność w Azure Entra ID umożliwia eskalację uprawnień, co może prowadzić do nieautoryzowanego dostępu do zasobów. Atakujący może wykorzystać tę lukę, aby uzyskać wyższe uprawnienia niż te, które powinny być mu przyznane.

CVE-2026-24124
Critical

Dragonfly to system dystrybucji plików i przyspieszania obrazów oparty na P2P. W wersjach 2.4.1-rc.0 i poniżej, punkty końcowe API Job (/api/v1/jobs) nie mają middleware autoryzacji JWT oraz kontroli autoryzacji RBAC, co pozwala nieautoryzowanym użytkownikom na przeglądanie, aktualizowanie i usuwanie zadań.

CVE-2026-21264
Critical

W Microsoft Account występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych, co prowadzi do podatności na ataki typu 'cross-site scripting'. Taki atak umożliwia nieautoryzowanemu napastnikowi przeprowadzenie oszustwa w sieci.

CVE-2025-54816
Critical

Podatność występuje, gdy punkt końcowy WebSocket nie egzekwuje odpowiednich mechanizmów uwierzytelniania, co pozwala nieautoryzowanym użytkownikom na nawiązywanie połączeń. Może to prowadzić do nieautoryzowanego dostępu do wrażliwych danych lub wykonywania nieautoryzowanych działań.

CVE-2026-24058
Critical

Soft Serve to samodzielny serwer Git do obsługi z linii poleceń. Wersje 0.11.2 i wcześniejsze mają krytyczną podatność na obejście uwierzytelniania, która pozwala atakującemu na podszycie się pod dowolnego użytkownika (w tym administratora) poprzez 'ofertę' publicznego klucza ofiary podczas handshake'u SSH przed uwierzytelnieniem własnym ważnym kluczem.

CVE-2026-20912
Critical

A vulnerability in Gitea allows improper linking of attachments to releases due to missing validation of repository ownership. An attachment uploaded to a private repository could be linked to a release in a different public repository, leading to unauthorized access.

CVE-2026-20897
Critical

A vulnerability in Gitea allows a user with write access to a repository to delete LFS locks belonging to other repositories. The issue stems from improper validation of repository ownership when deleting Git LFS locks.

PreviousPage 188 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS