CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Froxlor is server administration software that in version 2.3.6 allows administrators to configure an approved shell list for FTP users. However, the server-side FTP account handlers do not enforce this whitelist when processing add or edit requests, allowing authenticated users to assign arbitrary shells.
Froxlor to oprogramowanie do zarządzania serwerami typu open source. W wersjach przed 2.3.7, punkt końcowy API `DomainZones.add` nie oczyszczał znaków nowej linii w treści rekordów TXT, co pozwalało uwierzytelnionym użytkownikom z włączoną edycją DNS na wstrzykiwanie nowych linii do wartości rekordów TXT.
W libinput przed wersją 1.30.4 oraz 1.31.x przed wersją 1.31.3, nieodfiltrowane dane wyjściowe fizyczne z grupy urządzeń libinput mogą wstrzykiwać właściwości udev, co prowadzi do możliwości wykonania dowolnego kodu z uprawnieniami roota.
Oprogramowanie Seagull Software BarTender w wersjach 2021 R1 do 12.0.1 zawiera podatność na niebezpieczną deserializację, która pozwala lokalnym użytkownikom o niskich uprawnieniach na eskalację uprawnień. Punkt końcowy .NET Remoting DataServiceSingleton jest związany z localhostem na porcie TCP 7375, co ogranicza powierzchnię ataku do lokalnego dostępu.
nvm (Node Version Manager) w wersjach do 0.40.4 wykonuje dowolne polecenia z ciągów wersji dostarczonych przez skonfigurowany serwer lustrzany Node.js/io.js. Polecenia takie jak `nvm install` odczytują dostępne wersje z indeksu serwera, a następnie wykorzystują wybraną wersję do budowy adresów URL i poleceń shell/awk bez odpowiedniej sanitizacji.
W routerze Neterbit NW-431F w wersji vNW-431F-20241014-IR03 występuje problem, który pozwala zdalnemu atakującemu na uzyskanie poufnych informacji oraz wykonanie dowolnego kodu poprzez spreparowane polecenie wysłane do interfejsu at_command.asp.
Moduł SMS w routerze Neterbit NW-431F w wersji 20241014-IR03 i wcześniejszych jest podatny na przechowywane XSS. Aplikacja nieprawidłowo sanitizuje dane wejściowe użytkownika w wiadomościach SMS przed ich zapisaniem i wyświetleniem.
Net::CIDR::Set versions through 0.20 for Perl did not validate network masks, potentially allowing larger networks to be accepted. The mask could contain Unicode digits or non-digits, which were ignored.
Net::CIDR::Set versions through 0.20 for Perl did not validate IP addresses, which could lead to indefinite recursion. An attacker could exploit this vulnerability to cause a denial of service.
Etsy::StatsD versions through 1.002002 for Perl allow metric injections. Metric names and values are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.
W aplikacji mobilnej WriteUp od Kurt Software Studio występuje luka związana z niewłaściwą kontrolą dostępu, która pozwala na korzystanie z funkcji, które nie są odpowiednio ograniczone przez listy kontroli dostępu (ACL). Problem dotyczy wersji aplikacji od 1.3.0 do 04062026.
In OpenStack oslo.messaging versions 1.0.0 through 17.3.0, the RabbitMQ driver does not perform TLS hostname verification. Even with ssl_ca_file configured, any certificate signed by the CA is accepted, enabling man-in-the-middle attacks on RPC and notification traffic.
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 naraża endpoint `configUpdate` na zmiany stanu bez wymogu `POST` oraz tokena anty-CSRF. Atakujący może wykorzystać tę lukę, aby zmienić dane logowania administratora.
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 ujawnia `log_js_errors` każdemu uwierzytelnionemu użytkownikowi, w tym gościom, gdy dostęp gości jest włączony. Umożliwia to atakującym wstrzykiwanie kontrolowanych przez nich ciągów do głównego logu aplikacji, co prowadzi do warunków przechowywanego ataku XSS.
Version 1.3.1 of the bacnet_stack library contains an out-of-bounds read in the bacnet_tag_number_decode function, which can be exploited by attackers to cause a denial of service.
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, które w wersjach przed 2.17.1 jest podatne na zdalne wykonanie kodu poprzez funkcję niestandardowego katalogu szablonów newslettera. Atakujący może wykorzystać tę podatność do uruchomienia złośliwego szablonu Mako bez potrzeby posiadania jakichkolwiek poświadczeń.
GNCC GP5 v7.1.76 was discovered to store pre-signed Backblaze B2 upload URLs (PUT requests) in plaintext to the serial console. This allows physically-proximate attackers to extract these active tokens to perform unauthorized operations via monitoring the serial UART interface.
SolarWinds Serv-U jest podatny na specjalnie przygotowane żądania POST, które mogą spowodować awarię usługi Serv-U bez potrzeby uwierzytelnienia, wykorzystując Content-Encoding: deflate. W przypadku braku możliwości wdrożenia aktualizacji, dostępne są kroki łagodzące w Centrum Zaufania SolarWinds.
A security issue was fixed in the correlations over-correlation endpoint where the order query parameter was accepted from user-controlled named request parameters. This allowed an authenticated user to override the server-defined ordering of over-correlating values.
Podatność CVE-2026-45433 występuje w modelach ONT GX Earth 2022 z powodu obecności zakodowanego klucza prywatnego RSA w oprogramowaniu urządzenia. Zdalny atakujący może wykorzystać tę podatność, wydobywając klucz prywatny z oprogramowania, co może prowadzić do deszyfrowania ruchu HTTPS oraz ataków typu Man-in-the-Middle (MITM) na docelowe urządzenie.

