CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Ilevia EVE X1/X5 Server version ≤ 4.7.18.0.eden contains a vulnerability in its authentication mechanism. Unsanitized input is passed to a system() call for authentication, allowing attackers to inject special characters and manipulate command parsing.
A vulnerability in the Tuya Smart Life App version 5.6.1 allows attackers to gain unprivileged control over Matter devices via the Matter protocol. The issue stems from insufficient access controls on device management functions.
W bibliotece Jaspersoft odkryto podatność na deserializację w Javie. Niewłaściwe przetwarzanie danych dostarczonych z zewnątrz może umożliwić atakującym zdalne wykonanie dowolnego kodu na systemach korzystających z tej biblioteki.
Serwer Spring Cloud Gateway Webflux może być podatny na modyfikację właściwości środowiska Spring. Aplikacja jest uznawana za podatną, gdy spełnione są określone warunki dotyczące użycia Spring Boot actuator oraz dostępności nie zabezpieczonych punktów końcowych.
Podatność CVE-2024-13149 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Arma Store Armalife. Problem ten dotyczy wersji Armalife do 20250916.
An issue in Online Library Management System v3.0 allows an attacker to escalate privileges via the adminlogin.php component and the Login function. This vulnerability can be exploited to gain unauthorized administrative access.
W podatności CVE-2025-7744 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Dolusoft Omaspot. Problem ten dotyczy wersji Omaspot przed 12.09.2025.
Podatność w Dolusoft Omaspot związana z przesyłaniem wrażliwych informacji w postaci niezaszyfrowanej umożliwia przechwytywanie danych oraz eskalację uprawnień. Problem dotyczy wersji Omaspot przed 12.09.2025.
Podatność CVE-2025-4688 dotyczy modułu wyników egzaminów SINAV.LINK, który jest podatny na atak typu SQL Injection z powodu niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL. Problem ten występuje w wersjach przed 1.2.
Problem dotyczy możliwości monitorowania naciśnięć klawiszy przez aplikację bez zgody użytkownika. Został on rozwiązany poprzez wprowadzenie ulepszonych kontroli w systemach iOS 18.7, iPadOS 18.7, iOS 26 oraz iPadOS 26.
Zidentyfikowano problem logiczny związany z zarządzaniem stanem, który został naprawiony w systemach iOS 18.7, iPadOS 18.7, macOS Sequoia 15.7, macOS Sonoma 14.8 oraz innych. Problem dotyczy serwera UDP, który może być powiązany z wszystkimi interfejsami zamiast tylko z lokalnym.
Problem ten został rozwiązany poprzez usunięcie podatnego kodu. Został naprawiony w iOS 26, iPadOS 26, macOS Tahoe 26, tvOS 26, visionOS 26 oraz watchOS 26.
Problem dotyczy nieprawidłowego zarządzania pamięcią, co może prowadzić do awarii procesu podczas przetwarzania złośliwie przygotowanej zawartości internetowej. Został naprawiony w Safari 26 oraz systemach iOS, iPadOS, macOS Tahoe, tvOS, visionOS i watchOS w wersji 26.
W Safari oraz systemach iOS, iPadOS, macOS, tvOS, visionOS i watchOS zidentyfikowano problem z poprawnością, który został rozwiązany poprzez wprowadzenie ulepszonych kontroli. Wykorzystanie złośliwie przygotowanej treści internetowej może prowadzić do nieoczekiwanego awarii procesu.
Problem z autoryzacją został rozwiązany poprzez poprawę zarządzania stanem. Problem ten został naprawiony w iOS 26, iPadOS 26, macOS Sequoia 15.7, macOS Sonoma 14.8, macOS Tahoe 26, tvOS 26 oraz watchOS 26.
An issue was discovered in Siklu Communications Etherhaul 8010TX and 1200FX devices running firmware versions 7.4.0 through 10.7.3. The rfpiped service listening on TCP port 555 uses static AES encryption keys hardcoded in the binary, identical across all devices, allowing attackers to craft encrypted packets that execute arbitrary commands without authentication. This is a failed patch for CVE-2017-7318.
System baz danych statystycznych opracowany przez Gotac ma lukę związaną z brakiem uwierzytelnienia, co pozwala nieautoryzowanym zdalnym atakującym na odczyt, modyfikację i usunięcie zawartości bazy danych z wysokimi uprawnieniami.
Wykryto podatność w urządzeniu Mercury KM08-708H GiGA WiFi Wave2 w wersji 1.1.14, która dotyczy nieznanej funkcji komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do przepełnienia bufora na stosie.
File upload vulnerability in SueamCMS v.0.1.2 allows a remote attacker to execute arbitrary code due to lack of input filtering.
Langchaingo obsługuje składnię jinja2 podczas analizowania zapytań, co jest następnie przetwarzane za pomocą biblioteki gonja w wersji 1.5.3. Gonja wspiera składnię include i extends do odczytu plików, co prowadzi do podatności na wstrzyknięcie szablonu po stronie serwera w langchaingo.

