CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-42359
High

Błąd w punkcie końcowym PATCH XCom w Apache Airflow (`PATCH /api/v2/xcomEntries/{key}`) pozwalał uwierzytelnionemu użytkownikowi z uprawnieniami do zapisu XCom na Dag na ustawienie wpisów XCom pod zarezerwowanymi nazwami kluczy, co prowadziło do możliwości zdalnego wykonania kodu (RCE). Problem ten dotyczy wdrożeń, w których nieufni użytkownicy mają uprawnienia do zapisu XCom na Dagach, które odwołują się do wywołującego.

CVE-2026-41084
High

Błąd w API masowych instancji zadań Apache Airflow umożliwia użytkownikom z uprawnieniami edycji do modyfikacji stanu instancji zadań w innych DAG-ach, wykorzystując nieprawidłowe sprawdzenie autoryzacji. Problem występuje, gdy `dag_id` jest pobierane z URL, a `dag_id` i `dag_run_id` z ciała żądania.

CVE-2026-40961
High

Błąd w trasie przekierowania logowania w Apache Airflow pozwalał uwierzytelnionym użytkownikom na tworzenie adresów URL, które omijały kontrolę `is_safe_url`. To umożliwiało przekierowanie z zaufanej domeny Airflow do źródła kontrolowanego przez atakującego.

CVE-2026-40546
High

SOPlanning jest podatny na atak typu SQL Injection w wielu punktach końcowych i parametrach. Napastnik z niskimi uprawnieniami może wstrzykiwać dowolne polecenia SQL, co może prowadzić do pełnej kontroli nad bazą danych.

CVE-2026-40543
High

SOPlanning nie wymusza autoryzacji dla funkcji tworzenia kopii zapasowych. Nieautoryzowany atakujący może bezpośrednio zapytać o punkty końcowe związane z kopiami zapasowymi i uzyskać archiwa kopii zapasowych zawierające bazy danych użytkowników z nazwami użytkowników i haszami haseł, a także plik config.csv, który zawiera dodatkowe wrażliwe informacje.

CVE-2026-32325
High

Występuje problem z łańcuchowaniem uprawnień w ServerView Agents dla systemu Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.

CVE-2026-27788
High

Występuje nieprawidłowe przypisanie uprawnień do krytycznego zasobu w ServerView Agents dla Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.

CVE-2026-10243
High

W systemie Smart Parking System 1.0 wykryto podatność bezpieczeństwa w nieznanej funkcji komponentu Admin Endpoint. Manipulacja tą funkcją prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10236
High

W systemie zarządzania rachunkami wodnymi SourceCodester w wersji 1.0 odkryto podatność. Problem dotyczy niewłaściwego przetwarzania pliku /classes/Users.php?f=save w komponencie zarządzania użytkownikami, co prowadzi do nieprawidłowej autoryzacji.

CVE-2026-35563
High

Wersja 2.1.7 implementacji klienta LDAP nie weryfikuje, czy certyfikat serwera odpowiada zamierzonemu hostname'owi LDAP. Brak identyfikacji punktu końcowego pozwala na akceptację ważnego certyfikatu wydanego dla zupełnie innego hosta, co stwarza ryzyko podszywania się pod serwer i całkowitego kompromitowania połączenia.

CVE-2026-10227
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku add_user_check.php komponentu obsługi tworzenia użytkowników. Manipulacja argumentem 'role' prowadzi do wstrzykiwania SQL.

CVE-2026-10226
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano lukę, która może prowadzić do wstrzykiwania SQL. Problem dotyczy nieznanej funkcji w pliku delete.php, gdzie manipulacja argumentami user_id/course_id/teacher_id/student_id/application_id może umożliwić atak. Wykorzystanie tej luki może być przeprowadzone zdalnie.

CVE-2026-10225
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy pliku login_check.php w komponencie Logowanie. Manipulacja argumentem Nazwa użytkownika prowadzi do wstrzyknięcia SQL, co może być zainicjowane zdalnie.

CVE-2026-48209
High

An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions.

CVE-2026-20455
High

W geniezone występuje możliwe zapisanie danych poza przydzielonym obszarem z powodu braku sprawdzenia granic. Może to prowadzić do lokalnego podniesienia uprawnień, jeśli złośliwy aktor już uzyskał uprawnienia systemowe.

CVE-2026-20452
High

W sterowniku AP WLAN występuje możliwe uszkodzenie pamięci spowodowane przepełnieniem bufora na stercie. Może to prowadzić do zdalnego wykonania kodu z wymaganymi uprawnieniami użytkownika, przy czym interakcja użytkownika nie jest potrzebna do wykorzystania tej podatności.

CVE-2026-10221
High

Zidentyfikowano podatność w NousResearch hermes-agent do wersji 0.12.0, dotycząca funkcji _compress_context w pliku run_agent.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia kodu, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10220
High

Wykryto podatność w NousResearch hermes-agent do wersji 2026.4.30, dotycząca funkcji _serve_plugin_skill/skill_view w pliku tools/skills_tool.py. Wykonanie manipulacji może prowadzić do wstrzyknięcia kodu, a atak może być przeprowadzony zdalnie.

CVE-2026-10219
High

Wykryto podatność w Nextlevelbuilder GoClaw w wersjach do 3.11.3, która dotyczy funkcji FsBridge.WriteFile w pliku internal/sandbox/fsbridge.go. Manipulacja tą funkcją może prowadzić do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-10214
High

Zidentyfikowano słabość w zhayujie chatgpt-on-wechat do wersji 2.0.8, która dotyczy funkcji _get_safety_warning w pliku agent/tools/bash/bash.py komponentu Bash Tool. Wykonanie manipulacji może prowadzić do wstrzyknięcia poleceń systemowych, co umożliwia zdalny atak.

PreviousPage 211 of 3357Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS