CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Stos sygnalizacji SIP w Verizon IMS (nieokreślona wersja) implementuje sygnalizację SIP bez ochrony integralności IPsec, co pozwala atakującemu na drodze na kompromitację poufności, integralności i autentyczności sygnalizacji VoLTE poprzez pasywne monitorowanie i aktywną manipulację niezabezpieczonymi wiadomościami SIP w sieci radiowej i rdzeniowej.
W narzędziu do zapisu plików w Amazon Kiro IDE przed wersją 0.11 występują niewystarczające ograniczenia kontroli dostępu, co może pozwolić zdalnym, nieautoryzowanym podmiotom na wykonywanie dowolnych poleceń poprzez spreparowane instrukcje. Może to prowadzić do automatycznego wykonania kodu przy otwieraniu folderu.
The Bitdefender Napoca bare-metal hypervisor contains an out-of-bounds write vulnerability in the real-mode hook handler. It uses a guest-controlled SS:SP-derived offset as an index into the RealModeMemory buffer, leading to an overflow.
The Bitdefender Napoca hypervisor contains an out-of-bounds write vulnerability in the BIOS INT 0x15 / E820 memory map handler. The handler computes a destination address based on guest-controlled ES and EDI register values, potentially leading to writes beyond the allocated RealModeMemory.
CVE-2026-7313 dotyczy niewystarczająco chronionych poświadczeń w usługach internetowych w Progress Sitefinity w wersjach od 8.0.5700 do 13.3.7652. Umożliwia to zdalnemu, uwierzytelnionemu atakującemu uzyskanie poświadczeń w postaci tekstu jawnego używanych do łączenia się z usługą Sitefinity Insight.
Podatność CVE-2026-7201 dotyczy systemu Progress Sitefinity w wersjach 15.2.x przed 15.2.8441, 15.3.x przed 15.3.8531 oraz 15.4.x przed 15.4.8630. Umożliwia zdalnemu, uwierzytelnionemu atakującemu modyfikację właściwości kont innych użytkowników, co może prowadzić do przejęcia konta.
Podatność CVE-2026-7195 dotyczy niewłaściwej walidacji danych wejściowych w usługach internetowych Progress Sitefinity w wersjach 14.1.x do 14.3.x oraz w wersjach 14.4.x przed 14.4.8152, 15.0.x przed 15.0.8234, 15.1.x przed 15.1.8335, 15.2.x przed 15.2.8441, 15.3.x przed 15.3.8531 i 15.4.x przed 15.4.8630. Umożliwia to zdalnemu, nieautoryzowanemu atakującemu naruszenie integralności i poufności kont użytkowników, wymagając interakcji użytkownika oraz nietypowej konfiguracji witryny.
Podatność na deserializację niezaufanych danych w Elated-Themes Askka umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Askka od n/a do 1.3.1.
Podatność CVE-2026-39553 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do możliwości lokalnego włączenia pliku. Problem ten występuje w motywie WaveRide w wersjach od n/a do 1.4.
Podatność CVE-2026-39552 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia plików. Problem ten występuje w Blueprint od wersji n/a do przed 1.1.5.
Nieprawidłowa autoryzacja w REST API w Collibra Agent umożliwia zdalnemu, nieautoryzowanemu atakującemu dostęp do funkcji z uprawnieniami poprzez wystawione punkty końcowe '/rest/*'.
W Collibra Agent występuje podatność na przejście ścieżki w obsłudze przywracania, która pozwala atakującemu na zapisanie dowolnych plików za pomocą spreparowanego archiwum ZIP. Problem wynika z niewłaściwej walidacji i kanonizacji ścieżki pliku podczas ekstrakcji ZIP.
W podatności CVE-2025-69369 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co pozwala na lokalne włączenie pliku PHP w Axiomthemes Racquet. Problem dotyczy wersji Racquet od n/a do 1.12.0.
W podatności CVE-2025-68886 występuje niewłaściwa kontrola nazwy pliku w instrukcji include/require w programie PHP, co pozwala na lokalne włączenie pliku w aplikacji Cookiteer od wersji n/a do 1.4.8. Problem ten może prowadzić do nieautoryzowanego dostępu do plików systemowych.
W podatności CVE-2025-58897 występuje niewłaściwa kontrola nazwy pliku w instrukcji Include/Require w programie PHP, co prowadzi do lokalnego włączenia pliku PHP w Axiomthemes Fermentio. Problem ten dotyczy wersji Fermentio od n/a do 1.5.0.
W podatności CVE-2025-58707 występuje niewłaściwa kontrola nazw plików w instrukcjach include/require w programie PHP, co pozwala na lokalne włączenie plików PHP. Problem dotyczy wersji Spin od n/a do 1.8.
Systemy monitorowania pacjentów Dräger Infinity Acute Care oraz samodzielne monitory Infinity M540 działające na wersjach oprogramowania VG4.1.1, VG4.0.3 i niższych zawierają luki w obsłudze komunikatów sieciowych. Umożliwiają one atakującym z dostępem do portu sieciowego Infinity lub w pobliżu punktu dostępowego modyfikację ustawień urządzenia oraz wywołanie warunków odmowy usługi.
Podatność CVE-2026-42685 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w WP Job Portal, co pozwala na ataki typu Reflected XSS. Problem ten występuje w wersjach WP Job Portal od n/a do 2.5.1.
W systemie rezerwacji Five Star Restaurant występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 2.7.14.
W EventPrime występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji od n/a do 4.3.2.0.

