CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Nanobot prior to version 0.2.1 contains a server-side request forgery (SSRF) vulnerability in the web_fetch tool. Attackers can exploit automatic HTTP redirect following in the httpx library to bypass URL validation and send requests to internal or private hosts.
W systemie rezerwacji hotelowej i turystycznej w wersji 1.0 odkryto lukę bezpieczeństwa. Manipulacja argumentami name, email, people oraz number w pliku /ht/tour.php prowadzi do ataku typu cross-site scripting (XSS).
W systemie płacowym CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej części pliku /home_employee.php. Manipulacja argumentem emp_id prowadzi do wstrzykiwania SQL, co może być przeprowadzone zdalnie.
W projekcie DevaslanPHP w wersjach do 2.0.0-beta1 zidentyfikowano podatność w funkcji KanbanScrumHelper::recordUpdated w pliku app/Helpers/KanbanScrumHelper.php. Problem ten prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W projekcie DevaslanPHP do wersji 2.0.0-beta1 wykryto lukę w funkcji editComment/doDeleteComment w pliku app/Filament/Resources/TicketResource/Pages/ViewTicket.php komponentu Livewire Handler. Wykonanie manipulacji może prowadzić do niewłaściwej autoryzacji.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.12 oraz od 32.0.0 do przed 32.0.3 brakowało sprawdzenia relacji, co pozwalało uwierzytelnionym użytkownikom z dostępem do komentarzy plików na odczytanie treści wszystkich komentarzy.
W silniku grafiki wektorowej Thor Vector Graphics (ThorVG) przed wersją 1.0.5 występowała podatność na dereferencję wskaźnika null w funkcji SvgLoader::run(). Umożliwia to każdemu, kto przekaże nieufne dane SVG do Picture::load(), spowodowanie awarii procesu przy użyciu 6-bajtowego ładunku.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, sesyjny cookie przed weryfikacją dwuetapową (utworzony po pomyślnej autoryzacji hasłem, ale przed zakończeniem TOTP) mógł być ponownie użyty jako token Bearer do autoryzacji w punktach końcowych DAV, co umożliwiało dostęp do odczytu/zapisu oraz omijanie obowiązkowej weryfikacji dwuetapowej.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3 wystąpiła podatność na obejście uwierzytelniania, która pozwalała atakującym, znającym hasło użytkownika, na ominięcie zabezpieczeń dwuetapowego uwierzytelniania (2FA).
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 0.8.0 do przed 1.0.4 kryteria filtrów widoku są dostępne dla użytkowników z uprawnieniami tylko do odczytu w tabelach Nextcloud. Problem został naprawiony w wersjach 1.0.4 i 2.0.0.
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 4.3.0 do przed 5.2.7, usunięty współpracownik zachowuje nieautoryzowany dostęp do przesłanych plików odpowiedzi dla dotkniętego formularza. Problem ten został naprawiony w wersji 5.2.7.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 5.5.13 do przed 5.5.17 oraz 6.2.0 do przed 6.2.3, uwierzytelniony użytkownik mógł enumerować użytkowników na tej samej instancji Nextcloud, korzystając z punktu końcowego aplikacji Kalendarz do sugerowania uczestników. Ograniczenia udostępniania, stosowane w innych punktach końcowych, nie były tutaj skuteczne.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, podczas udostępniania folderu lub pliku zespołowi Nextcloud z członkiem zewnętrznym, system automatycznie tworzy publiczny link, który nie jest widoczny dla właściciela folderu.
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 1.3.6 do przed 8.4.0 wystąpił problem z niewłaściwą weryfikacją, który pozwalał użytkownikom z LDAP na autoryzację w systemie OIDC nawet po ich usunięciu.
W Nextcloud Server w wersjach od 32.0.0 do przed 32.0.2 oraz od 33.0.0 do przed 33.0.1, aplikacja files_lock nieprawidłowo weryfikowała właścicieli plików podczas przetwarzania żądań blokowania i odblokowywania DAV. Użytkownik z autoryzacją mógł blokować lub odblokowywać pliki należące do innych użytkowników, celując w ich absolutne ścieżki WebDAV.
Nextcloud to otwarta platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, uwierzytelniony atakujący może uzyskać dostęp do załączników udostępnionych linków, znając token udostępnienia, omijając zabezpieczenia hasłem lub ograniczenia pobierania.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.14 oraz od 32.0.0 do przed 32.0.4, użytkownicy niebędący administratorami mogą w niektórych przypadkach kopiować dowolne pliki do własnego katalogu Nextcloud poprzez atak typu path traversal, jeśli w konfiguracji użyto {lang}.
W aplikacji Approval w Nextcloud przed wersją 2.7.2 występuje podatność na eskalację uprawnień, która pozwala użytkownikowi bez uprawnień do udostępniania wymusić na systemie udostępnienie pliku osobom zatwierdzającym. To prowadzi do obejścia autoryzacji i eskalacji uprawnień, umożliwiając nieautoryzowane udostępnianie zastrzeżonych plików.
Występuje błąd OOM (Out of Memory) podczas próby dodawania nieskończonej liczby funkcji do Rejestru Funkcji w produktach Spring. Dotyczy to wersji Spring Cloud Function przed określonymi wersjami w gałęziach 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x.
Podatność CVE-2026-40989 dotyczy nieskończonej rekurencji w warstwie routingu, co może prowadzić do błędu OOM (Out of Memory) podczas obsługi żądań. Dotyczy to różnych wersji Spring Cloud Function, w tym 3.2.x, 4.1.x, 4.2.x, 4.3.x oraz 5.0.x, a także starszych, nieobsługiwanych wersji.

