CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
W urządzeniach NVR z serii 1xxx występuje podatność na przechowywane ataki XSS z powodu niewystarczającej sanitizacji danych wejściowych dostarczanych przez użytkowników w określonych modułach funkcjonalnych. Atakujący mogą wstrzykiwać złośliwe skrypty, które są następnie trwale przechowywane w backendzie urządzenia.
The Frontier X2 device allows unauthenticated access to critical GATT characteristics via BLE without pairing authentication. Attackers can control device functions and inject fabricated health telemetry data.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.4, metoda ProjectService.GetProjectFileContent zwracała zawartość dowolnej dyrektywy include z pliku compose projektu przed przeprowadzeniem walidacji ścieżek, co umożliwiało atakującemu odczytanie plików systemowych.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.2, punkt końcowy PUT /api/environments/{id}/templates/variables nie sprawdzał autoryzacji administratora, co pozwalało uwierzytelnionym użytkownikom niebędącym administratorami na nadpisywanie globalnych zmiennych środowiskowych.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.0, nieautoryzowany endpoint GET /api/app-images/logo odzwierciedla parametr zapytania koloru dostarczony przez użytkownika w treści dokumentu SVG, co pozwala na wstrzyknięcie złośliwego kodu JavaScript.
Klever-Go, implementacja protokołu blockchain Klever, przed wersją 1.7.17 zawiera podatność na zdalny, nieautoryzowany atak typu denial-of-service w funkcji Batch.Decompress. Atakujący może wykorzystać mały ładunek danych do przydzielenia wielogigabajtowych pamięci na węźle odbierającym, co prowadzi do awarii walidatora.
W wersji xiaomusic v0.5.7 występuje podatność na nieautoryzowany dostęp do plików poprzez przejście ścieżki w punkcie końcowym GET /music/{file_path:path}. Atakujący mogą odczytać dowolne pliki spoza zamierzonego katalogu muzycznego, wykorzystując niekompletną kontrolę prefiksu ścieżki.
MoviePilot v2 zawiera podatność typu server-side request forgery w punkcie końcowym proxy obrazów, która pozwala uwierzytelnionym atakującym na żądanie dowolnych adresów URL poprzez dostarczenie ciasteczka resource_token oraz adresu URL, którego domena znajduje się na liście dozwolonych. Atakujący mogą obejść wewnętrzne zabezpieczenia sieciowe, ponieważ funkcja SecurityUtils.is_safe_url sprawdza jedynie przynależność domeny.
W wersji 2.6.5 agno występuje podatność na wstrzykiwanie SQL w backendzie bazy danych ClickHouse. Umożliwia to atakującym wstrzykiwanie dowolnych wyrażeń SQL poprzez dostarczenie złośliwych kluczy i wartości metadanych do metody delete_by_metadata().
GitHub CLI (gh) przed wersją 2.93.0 błędnie dołącza nagłówek autoryzacji w żądaniach API do luster repozytoriów TUF. Logika normalizacji hosta powoduje, że subdomeny *.github.com są traktowane jako github.com, co prowadzi do nieautoryzowanego przekazywania tokenów.
Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach 0.29.0 i wcześniejszych funkcja deleteRegistry wykonuje polecenie docker logout ${response.registryUrl} bez odpowiedniego zabezpieczenia przed wstrzyknięciem poleceń, co prowadzi do podatności na wstrzyknięcie poleceń podczas usuwania rejestru z wykorzystaniem spreparowanego registryUrl.
The template upload feature in Emlog Pro v2.6.9 has a path traversal vulnerability, allowing authenticated administrators to execute arbitrary PHP code. By uploading a malicious ZIP archive containing directory traversal sequences in filenames, an attacker can overwrite default template files or directly include malicious code files in the current template.
OpenClaw przed wersją 2026.5.18 zawiera podatność na obejście zakresu w trasie Gateway chat.send, która pozwala klientom z ograniczonym zakresem na wykonywanie uprzywilejowanych poleceń. Atakujący z zakresem operator.write mogą dostarczać polecenia przez dziedziczone zewnętrzne trasy, omijając wymagania dotyczące operator.approvals i operator.admin.
OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.
OpenClaw przed wersją 2026.5.4 zawiera lukę w autoryzacji w wtyczce do parowania urządzeń, która pozwala nieuprawnionym nadawcom czatu na wydawanie kodów bootstrap do parowania urządzeń bez odpowiedniej walidacji zakresu. Atakujący z dostępem do poleceń czatu mogą tworzyć kody konfiguracyjne, aby zarejestrować urządzenia z uprawnieniami operatora/węzła.
Wykryto podatność w Shibby Tomato 1.28, która dotyczy nieznanej funkcji w pliku usr/sbin/miniupnpd. Manipulacja tą funkcją prowadzi do zużycia zasobów i może być przeprowadzona zdalnie.
W Shibby Tomato 1.28 znaleziono lukę w funkcji send pliku usr/sbin/miniupnpd, która dotyczy komponentu SUBSCRIBE Call Handler. Wykorzystanie tej luki może prowadzić do ataku typu server-side request forgery, który może być inicjowany zdalnie.
Wykryto podatność w Shibby Tomato 1.28, która dotyczy funkcji sub_90F0 w pliku multimon.cgi. Manipulacja prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w Shibby Tomato do wersji 1.28, która dotyczy funkcji sub_9068 w pliku tomatoups.cgi komponentu UPS Service. Manipulacja prowadzi do przepełnienia bufora na stosie, co może być zdalnie wykorzystane przez atakującego.
Zidentyfikowano słabość w Shibby Tomato 1.28, która dotyczy funkcji get_ups_field w pliku tomatodata.cgi. Manipulacja argumentem Date może prowadzić do przepełnienia bufora na stosie, co umożliwia zdalne przeprowadzenie ataku.

