CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-10619
High

W systemie zarządzania studentami sayan365 do wersji 7f3c9ce7d410332335c2affac93a385485051800 wykryto podatność, która wpływa na nieznaną funkcję. Manipulacja prowadzi do niewłaściwej autoryzacji, a atak może być przeprowadzony zdalnie.

CVE-2026-8036
High

Nieprawidłowa walidacja danych wejściowych w NI-PAL może umożliwić lokalnie uwierzytelnionemu użytkownikowi dostęp do dowolnej pamięci systemowej, co może prowadzić do eskalacji uprawnień. Ta podatność dotyczy wersji NI-PAL 26.3.0 i wcześniejszych na systemach Windows i Linux.

CVE-2026-8035
High

Nieprawidłowa walidacja danych wejściowych w sterowniku jądra NI-PAL może pozwolić lokalnie uwierzytelnionemu użytkownikowi na spowodowanie awarii systemu poprzez wywołanie dereferencji wskaźnika NULL. Ta podatność dotyczy wersji NI-PAL 26.3.0 i wcześniejszych na systemach Windows i Linux.

CVE-2026-5073
High

Wtyczka ARMember Premium dla WordPressa jest podatna na atak SQL Injection poprzez parametr 'order' w akcji AJAX 'arm_directory_paging_action' we wszystkich wersjach do 7.3.1 włącznie. Problem wynika z niewystarczającego zabezpieczenia parametrów 'order' i 'orderby' oraz braku odpowiedniego przygotowania istniejącego zapytania SQL w funkcji `arm_get_directory_members()`.

CVE-2026-49120
High

Medplum w wersjach przed 5.1.14 zawiera podatność typu server-side request forgery w workerze subskrypcyjnym, która pozwala uwierzytelnionym użytkownikom na wykonywanie nieautoryzowanych żądań do wewnętrznej sieci poprzez tworzenie zasobów subskrypcyjnych FHIR z dowolnymi adresami URL. Atakujący mogą kierować te subskrypcje na wewnętrzne adresy, co umożliwia wykradanie danych uwierzytelniających IAM oraz rekordów zdrowotnych pacjentów.

CVE-2026-48597
High

Podatność w elixir-tesla (CVE-2026-48597) pozwala na odmowę usługi poprzez wyczerpanie tabeli atomów w Tesla.Adapter.Mint. Problem wynika z braku walidacji listy dozwolonych schematów URL, co umożliwia atakującemu tworzenie nowych atomów przy każdym żądaniu.

CVE-2026-48595
High

Podatność związana z niewłaściwym traktowaniem wielkości liter w elixir-tesla tesla umożliwia wyciek danych uwierzytelniających do zewnętrznego źródła podczas przekierowań między źródłami. Nagłówki zabezpieczeń są usuwane na podstawie porównania z listą filtrów, co prowadzi do niezamierzonego przekazywania danych uwierzytelniających.

CVE-2026-48594
High

Podatność CVE-2026-48594 dotyczy niewłaściwego przetwarzania silnie skompresowanych danych w bibliotece elixir-tesla, co może prowadzić do odmowy usługi poprzez tzw. bombę dekompresyjną w ciałach odpowiedzi HTTP. W przypadku użycia middleware Tesla.Middleware.DecompressResponse lub Tesla.Middleware.Compression, odpowiedzi HTTP są dekompresowane bez limitu rozmiaru, co może prowadzić do wyczerpania pamięci.

CVE-2026-47265
High

AIOHTTP to asynchroniczny framework HTTP dla asyncio i Pythona. W wersjach przed 3.14.0 ciasteczka ustawione za pomocą parametru `cookies` w żądaniach są wysyłane po wykonaniu przekierowania między źródłami, co może prowadzić do wycieku wrażliwych danych, jeśli atakujący kontroluje przekierowanie.

CVE-2026-42342
High

React Router to router dla React. W wersjach od 7.0.0 do 7.14.x react-router oraz od 2.10.0 do 2.17.4 @remix-run/server-runtime, odpowiednio skonstruowane żądania mogą powodować nieproporcjonalne zużycie zasobów serwera poprzez nieograniczone rozszerzanie ścieżek w punkcie końcowym __manifest, co prowadzi do degradacji czasu odpowiedzi i/lub niedostępności usługi dla użytkowników końcowych.

CVE-2026-42211
High

React Router w wersjach od 7.0.0 do 7.14.1, w trybie Framework Mode, może umożliwić zdalne wykonanie kodu (RCE) w wyniku połączenia kilku kroków. Atak wymaga istnienia podatności na zanieczyszczenie prototypu w kodzie aplikacji, co pozwala na przeprowadzenie ataku w dwóch krokach, gdzie drugi krok wywołuje nieautoryzowane RCE na zdalnym serwerze.

CVE-2026-41577
High

W oprogramowaniu authentik, będącym otwartym dostawcą tożsamości, przed wersjami 2025.12.5 i 2026.2.3, procesor odpowiedzi SAML (ResponseProcessor.parse()) nie weryfikował elementu Conditions w asercjach. Ignorowane były parametry NotBefore, NotOnOrAfter oraz AudienceRestriction, co umożliwiało ponowne wykorzystanie wygasłych asercji oraz akceptację asercji przeznaczonych dla innych dostawców usług.

CVE-2026-34077
High

React Router to router dla React. W wersjach od 7.7.0 do 7.13.1 występuje potencjalna podatność na Cross-Site Scripting (XSS) po stronie klienta w obsłudze przekierowań RSC, jeśli przekierowania pochodzą z nieufnych źródeł. Aplikacje, które nie korzystają z niestabilnych API RSC w React Router, nie są dotknięte tą podatnością.

CVE-2026-33245
High

React Router w wersjach od 7.7.0 do 7.13.1 zawiera potencjalną podatność na atak Cross-Site Scripting (XSS) w obsłudze przekierowań RSC, gdy przekierowania pochodzą z nieufnych źródeł. Problem ten nie dotyczy aplikacji, które nie korzystają z niestabilnych API RSC w React Router.

CVE-2026-28299
High

SolarWinds Web Help Desk jest podatny na lukę typu denial-of-service, która w przypadku wykorzystania może spowodować awarię serwera Web Help Desk z powodu niewystarczającej ilości pamięci.

CVE-2026-1829
High

Wtyczka Content Visibility dla Divi Builder w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 4.02 poprzez parametr 'cvdb_content_visibility_check' w shortcode 'et_pb_text'. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej wykonanie kodu na serwerze.

CVE-2026-10701
High

Incorrect boundary conditions were found in the Graphics: Text component of Firefox. This vulnerability was fixed in Firefox 151.0.3.

CVE-2026-10617
High

Wykryto podatność bezpieczeństwa w nextlevelbuilder GoClaw do wersji 3.11.3, dotycząca funkcji resolveAuth w pliku internal/http/auth.go komponentu Webhook Verification Handler. Manipulacja prowadzi do braku autoryzacji, co umożliwia zdalne wykorzystanie ataku.

CVE-2026-10608
High

W DedeCMS w wersji 5.7.88 odkryto lukę bezpieczeństwa w funkcji RemoveXSS w pliku /plus/carbuyaction.php. Manipulacja argumentem postname/des prowadzi do wstrzyknięcia SQL. Atak może być przeprowadzony zdalnie.

CVE-2026-10607
High

Zidentyfikowano podatność w DedeCMS w wersji 5.7.88, która dotyczy funkcji dede_htmlspecialchars w pliku /plus/flink.php. Manipulacja argumentem msg prowadzi do wstrzykiwania SQL, co może być inicjowane zdalnie.

PreviousPage 204 of 3362Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS