CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.
Podatność typu Cross Site Scripting w aplikacji usememos Memos w wersji 0.26.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez strony SANITIZE_SCHEMA, komponent renderowania notatek oraz widok notatek publicznych/prywatnych.
Zidentyfikowano słabość w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji TeamTasksTool.executeComplete w pliku internal/tools/team_tasks_lifecycle.go, co może prowadzić do braku autoryzacji podczas manipulacji.
Serwer proxy w Graph Explorer przed wersją 3.0.1 przechodzi na HTTP, gdy brakuje plików certyfikatów, co może umożliwić zdalnym atakującym uzyskanie poufnych informacji poprzez przechwytywanie żądań, które miały być wysyłane przez HTTPS.
Dräger Atlan A350 versions 1.00 up to and including 1.01 contains an improper input handling vulnerability that allows attackers to cause a denial of service by sending specifically crafted non-Medibus-compliant data through the Medibus interface. Attackers can transmit malformed data to overload the internal processor.
Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.
Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.
Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.
W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.
OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.
Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności zablokowanych/profilów prywatnych. Wersja 2.2.5 naprawia ten problem.
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 strona profilu (modules/Core/pages/profile.php) przetwarza zgłoszenia postów na ścianie i odpowiedzi przed weryfikacją, czy użytkownik ma uprawnienia do dostępu do profilu, co pozwala na publikowanie postów na prywatnych profilach przez użytkowników z uprawnieniem profile.post.
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.
React Router w wersjach od 7.5.1 do 7.13.1 ma lukę, która pozwala na Cross-Site Scripting (XSS) w statycznie generowanych plikach HTML, gdy używany jest tryb Framework z włączonym pre-renderingiem i nieodpowiednio zneutralizowaną wartością nagłówka HTTP `Location`. Problem ten nie dotyczy aplikacji korzystających z trybu Deklaratywnego lub trybu Danych.
TP-Link Tapo C200 v5 zawiera lukę typu przepełnienie bufora na stosie w obsłudze uwierzytelniania RTSP, spowodowaną niewłaściwą walidacją długości pól nagłówka Authorization. Można ją wywołać za pomocą spreparowanego żądania uwierzytelniającego.
W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w komponencie walidacji uprawnień, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edytowania wpisów na modyfikację informacji o zasobach bez wymaganych uprawnień.
W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w funkcji odkrywania kont PAM, co pozwala uwierzytelnionemu użytkownikowi bez uprawnień administracyjnych na usunięcie konfiguracji skanowania odkrywania sieci.
Funkcjonalność autouzupełniania edytora zapytań SQL w Appsmith nie sanitizuje nazw obiektów bazy danych przed ich renderowaniem w innerHTML. Umożliwia to uwierzytelnionemu deweloperowi wstrzyknięcie trwałego XSS za pomocą złośliwych nazw tabel lub kolumn, co prowadzi do wykonania dowolnego kodu w sesjach innych członków workspace'u, gdy wchodzą w interakcję z tym samym źródłem danych.

