CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2021-47781
Critical

Cmder Console Emulator w wersji 1.3.18 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wywołanie stanu odmowy usługi poprzez złośliwie skonstruowany plik .cmd. Atakujący mogą stworzyć plik .cmd z powtarzającymi się znakami, aby przeciążyć bufor emulatora konsoli i spowodować awarię aplikacji.

CVE-2021-47774
Critical

Kingdia CD Extractor w wersji 3.0.2 zawiera podatność typu buffer overflow w polu nazwy rejestracyjnej, która umożliwia atakującym wykonanie dowolnego kodu. Atakujący mogą stworzyć złośliwy ładunek przekraczający 256 bajtów, aby nadpisać Structured Exception Handler i uzyskać zdalne wykonanie kodu przez bind shell.

CVE-2026-22859
CriticalEPSS 51%

In FreeRDP prior to version 3.20.1, the URBDRC client does not perform bounds checking on server-supplied MSUSB_INTERFACE_DESCRIPTOR values, using them as indices in libusb_udev_complete_msconfig_setup, which causes an out-of-bounds read.

CVE-2026-22858
Critical

In FreeRDP prior to 3.20.1, a global-buffer-overflow was found in the Base64 decoding path. The root cause is implementation-defined char signedness: on Arm/AArch64 builds, plain char is unsigned, so the guard c <= 0 can be optimized to c != 0, allowing non-ASCII bytes (0x80-0xFF) to bypass range checks and be used as an index into a global lookup table, causing out-of-bounds access.

CVE-2026-22855
CriticalEPSS 51%

In FreeRDP prior to 3.20.1, a heap out-of-bounds read vulnerability exists in the smartcard SetAttrib path when cbAttrLen does not match the actual NDR buffer length.

CVE-2026-22853
Critical

In FreeRDP prior to version 3.20.1, the RDPEAR NDR array reader does not perform bounds checking on the on-wire element count and can write past the heap buffer allocated from hints, causing a heap buffer overflow in ndr_read_uint8Array.

CVE-2026-22708
Critical

Cursor to edytor kodu stworzony do programowania z wykorzystaniem AI. Przed wersją 2.3, gdy Agent Cursor działał w trybie Auto-Run z włączonym trybem Allowlist, niektóre wbudowane polecenia powłoki mogły być wykonywane bez pojawiania się na liście dozwolonych i bez wymagania zgody użytkownika.

CVE-2025-37184
Critical

W usłudze Orchestrator występuje podatność, która może pozwolić nieautoryzowanemu zdalnemu atakującemu na ominięcie wymagań dotyczących uwierzytelniania wieloskładnikowego. Udana eksploitacja może umożliwić atakującemu utworzenie konta użytkownika z uprawnieniami administratora bez konieczności przechodzenia przez uwierzytelnianie wieloskładnikowe.

CVE-2026-22238
Critical

Podatność CVE-2026-22238 występuje w BLUVOYIX z powodu niewłaściwej autoryzacji w interfejsach API administracyjnych. Zdalny atakujący bez uwierzytelnienia może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do podatnego API administracyjnego, aby utworzyć nowego użytkownika z uprawnieniami administratora.

CVE-2026-22237
Critical

Podatność CVE-2026-22237 występuje w BLUVOYIX z powodu ujawnienia wrażliwej dokumentacji wewnętrznych API. Nieautoryzowany zdalny atakujący może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do API ujawnionych w dokumentacji.

CVE-2026-22236
Critical

Podatność występuje w BLUVOYIX z powodu niewłaściwej autoryzacji w interfejsach API backendu. Zdalny atakujący bez uwierzytelnienia może wykorzystać tę podatność, wysyłając specjalnie przygotowane żądania HTTP do podatnych interfejsów API.

CVE-2026-23550
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Modular DS modular-connector umożliwia eskalację uprawnień. Problem ten dotyczy wersji Modular DS od n/a do 2.5.1 włącznie.

CVE-2025-14502
Critical

Wtyczka News and Blog Designer Bundle dla WordPressa jest podatna na Local File Inclusion we wszystkich wersjach do i włącznie z 1.1 poprzez parametr szablonu. Umożliwia to nieautoryzowanym atakującym dołączanie i wykonywanie dowolnych plików .php na serwerze.

CVE-2025-14301
Critical

Wtyczka Integration Opvius AI dla WooCommerce w WordPressie jest podatna na atak typu Path Traversal we wszystkich wersjach do 1.3.0 włącznie. Problem wynika z funkcji `process_table_bulk_actions()`, która przetwarza ścieżki plików dostarczone przez użytkowników bez odpowiednich kontroli uwierzytelnienia, weryfikacji nonce lub walidacji ścieżek.

CVE-2026-22686
Critical

Enclave to bezpieczny sandbox JavaScript zaprojektowany do bezpiecznego wykonywania kodu agentów AI. W wersjach przed 2.7.0 występuje krytyczna podatność na ucieczkę z sandboxa w enclave-vm, która pozwala na wykonanie dowolnego kodu w hostującym środowisku Node.js przez nieufny kod JavaScript.

CVE-2023-54339
Critical

Webgrind w wersji 1.1 zawiera podatność na zdalne wykonanie poleceń, która pozwala nieautoryzowanym atakującym na wstrzykiwanie poleceń systemowych za pomocą parametru dataFile w pliku index.php. Atakujący mogą wykonywać dowolne polecenia systemowe, manipulując tym parametrem.

CVE-2023-54335
Critical

eXtplorer w wersji 2.1.14 zawiera podatność na obejście uwierzytelniania, która pozwala atakującym na logowanie bez hasła poprzez manipulację żądaniem logowania. Wykorzystując tę lukę, atakujący mogą przesyłać złośliwe pliki PHP i wykonywać zdalne polecenia w podatnym systemie zarządzania plikami.

CVE-2022-50935
Critical

Modem Flame II HSPA USB zawiera podatność na niecytowaną ścieżkę usługi w konfiguracji usługi Windows. Atakujący mogą wykorzystać tę niecytowaną ścieżkę w 'C:\Program Files (x86)\Internet Telcel\ApplicationController.exe', aby wykonać dowolny kod z podwyższonymi uprawnieniami systemowymi.

CVE-2022-50926
Critical

Oprogramowanie WAGO 750-8212 PFC200 G2 2ETH RS zawiera podatność na eskalację uprawnień, która pozwala atakującym na manipulację ciasteczkami sesji użytkownika. Atakujący mogą zmodyfikować parametry 'name' i 'roles' ciasteczka, aby uzyskać uprawnienia administratora bez konieczności uwierzytelnienia.

CVE-2022-50922
Critical

Audio Conversion Wizard w wersji 2.01 zawiera podatność na przepełnienie bufora, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie pamięci specjalnie skonstruowanym kodem rejestracyjnym. Atakujący mogą wygenerować ładunek, który nadpisuje stos pamięci aplikacji, co potencjalnie umożliwia zdalne wykonanie kodu.

PreviousPage 193 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS