CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
HCL Hive Telco Observability jest podatny na problem związany z brakującymi wymaganymi dyrektywami w polityce CSP w komponencie keycloak aplikacji webowej. Brak istotnych dyrektyw może narazić stronę na ataki.
Dell BSAFE SSL-J zawiera podatność na nieograniczone przydzielanie zasobów, co może prowadzić do ataku typu Denial of Service (DoS) przez nieautoryzowanego zdalnego napastnika.
Wtyczka WordPress Google Review Slider w wersji 6.1 zawiera podatność na czasową, ślepą injekcję SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru 'tid'. Atakujący mogą wysyłać żądania GET do interfejsu administracyjnego z złośliwymi wartościami 'tid', aby wydobyć wrażliwe informacje z bazy danych.
LabF nfsAxe 3.7 Ping Client zawiera podatność na przepełnienie bufora, która pozwala lokalnym atakującym na wykonanie dowolnego kodu poprzez dostarczenie złośliwego ładunku w polu Host IP. Atakujący mogą stworzyć specjalnie sformatowany plik wejściowy z kodem powłoki i nadpisać adres powrotu, aby uruchomić calc.exe lub inne dowolne polecenia.
AllPlayer 7.4 zawiera lokalną podatność na przepełnienie bufora w obsłudze URL, która pozwala atakującym na nadpisanie wskaźników obsługi wyjątków strukturalnych poprzez dostarczenie nadmiernie długiego ciągu URL. Atakujący mogą stworzyć złośliwy URL, wkleić go w oknie dialogowym Otwórz URL i wywołać wykonanie kodu opartego na SEH, co pozwala na uruchomienie dowolnych poleceń z uprawnieniami użytkownika.
NetShareWatcher w wersji 1.5.8.0 zawiera podatność na przepełnienie bufora w obsłudze wyjątków strukturalnych, która umożliwia lokalnym atakującym wykonanie dowolnego kodu poprzez dostarczenie złośliwego wejścia. Atakujący mogą stworzyć ładunek z nadpisanymi wskaźnikami SEH i NSEH za pomocą pola filtru niestandardowego Restrictions, aby wywołać wykonanie kodu podczas wywołania funkcji Find.
Skrypt PHP EI-Tube w wersji 3 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wyszukiwania. Atakujący mogą wysyłać żądania GET do punktu końcowego wyszukiwania z przygotowanymi ładunkami SQL w parametrze zapytania, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, hasła i szczegóły wersji.
Listing Hub CMS w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do pages.php z odpowiednio skonstruowanymi wartościami id, wykorzystując techniki wstrzykiwania SQL oparte na błędach.
Care2x w wersji 2.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez manipulację parametrem cookie ck_config. Atakujący mogą wstrzykiwać złośliwy kod SQL w różnych punktach końcowych, takich jak login.php, indexframe.php oraz w różnych plikach modułów.
All in One Video Downloader w wersji 1.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania do interfejsu administracyjnego z ładunkami SQL opartymi na UNION, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, bazy danych i szczegóły wersji.
Podatność CVE-2026-45432 występuje w modelach GX Earth ONT z powodu przesyłania danych uwierzytelniających użytkowników w postaci niezaszyfrowanej przez HTTP w interfejsie zarządzania siecią. Zdalny atakujący może wykorzystać tę podatność, przechwytując ruch sieciowy, aby uzyskać wrażliwe informacje uwierzytelniające.
Podatność CVE-2026-45431 występuje w modelach GX Earth ONT z powodu niewłaściwego przetwarzania danych wejściowych dostarczonych przez użytkownika w wielu funkcjach diagnostycznych w interfejsie zarządzania przez sieć. Uwierzytelniony zdalny atakujący może wykorzystać tę podatność do wstrzykiwania i wykonywania dowolnych poleceń systemowych na docelowym urządzeniu.
A flaw was found in the OpenShift Cloud Credential Operator Mint-mode IAM policies for AWS. Operator credentials are provisioned with account-wide scope for destructive actions rather than being restricted to cluster-owned resources, enabling cross-scope impact after credential compromise.
A flaw in the OpenShift Pipelines operator allows the 'tekton-scheduler-rolebinding' ClusterRoleBinding to grant the 'system:authenticated' group write access to Kueue and cert-manager custom resources. Any authenticated user can disrupt workload scheduling, delete other tenants' Workload objects, or overwrite TLS Secrets including the default ingress controller certificate.
HCL iControl jest podatny na lukę typu CSV Injection, która umożliwia atak refleksyjny XSS. Problem wynika z niewystarczającego oczyszczania parametrów wejściowych.
A local privilege escalation vulnerability in Forcepoint VPN Client for Windows versions 6.11.3 and prior allows a non-administrative user to escalate privileges to SYSTEM.
Podatność CVE-2026-49771 dotyczy galerii zdjęć 10Web i polega na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co umożliwia atak typu Blind SQL Injection. Problem ten występuje w wersjach od n/a do 1.8.41.
Punkt końcowy walidacji konta /v1/User/validate zwraca szczegółowe dane profilu użytkownika, które mogą być przeszukiwane poprzez iterację przewidywalnych ciągów identyfikacyjnych.
Urządzenie szyfruje dane przy użyciu AES-CBC z statycznymi, wypełnionymi zerami wektorami inicjalizacyjnymi (IV), co czyni je podatnym na ataki powtórzeniowe oraz odszyfrowanie znanego tekstu jawnego.
Wydarzenia rozgłoszeniowe umożliwiają złośliwemu oprogramowaniu zmianę domyślnego adresu punktu końcowego zarządzania urządzeniami mobilnymi (MDM), co prowadzi do przejęcia administracyjnej kontroli przez zewnętrznego atakującego.

