CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2026-10278
Medium

W podatności CVE-2026-10278 zidentyfikowano problem w ishayoyo excel-mcp do wersji 1.0.2, dotyczący nieznanej funkcji w pliku src/index.ts komponentu read_file/write_file. Manipulacja argumentami filePath/outputPath może prowadzić do ataku typu path traversal.

CVE-2026-10277
Medium

Wykryto podatność w narzędziu MCP Gmail Tool w wersjach do 831790e7d5c2663325733d9f5579cc339a267c4c. Problem dotyczy funkcji saveToDisk w pliku src/tools/gmail.ts i prowadzi do niewłaściwych kontroli dostępu, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10276
Medium

Wykryto podatność w hekmon8 Jenkins-server-mcp w wersji 0.1.0, która dotyczy funkcji jobPath w pliku src/index.ts komponentu get_build_status/get_build_log/trigger_build. Manipulacja ta prowadzi do ataku typu server-side request forgery, który może być przeprowadzony zdalnie.

CVE-2026-8643
Medium

A vulnerability in pip causes console_scripts and gui_scripts to be treated as paths instead of file names without sanitizing the resolved absolute path to the installation directory, allowing entry points to be installed outside that directory.

CVE-2026-45701
Medium

Sulu to otwartoźródłowy system zarządzania treścią PHP oparty na frameworku Symfony. W wersjach przed 2.6.23 i 3.0.6, token resetowania hasła oraz generowanie klucza API korzystały z słabego algorytmu haszującego. Problem ten został naprawiony w wersjach 2.6.23 i 3.0.6.

CVE-2026-45267
Medium

Nextcloud to otwarta platforma do współpracy nad treścią. Przed wersją 5.2.6 brak weryfikacji uprawnień umożliwiał użytkownikom żądanie odczytu formularzy przesłanych przez innych użytkowników. Problem został naprawiony w wersji 5.2.6.

CVE-2026-45264
Medium

W Nextcloud, od wersji 17.0.0 do przed 17.0.15, 18.0.0 do przed 18.1.12, 19.0.0 do przed 19.1.16, 20.0.0 do przed 20.1.11 oraz 21.0.0 do przed 21.0.4, użytkownik z uprawnieniami READ i CREATE, ale bez uprawnień UPDATE dla folderu zespołowego, może zmieniać nazwy plików w tym folderze. Problem został naprawiony w wersjach 17.0.15, 18.1.12, 19.1.16, 20.1.11 oraz 21.0.4.

CVE-2026-45157
Medium

Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, złośliwy użytkownik mający dostęp do udostępnionego pliku mógł wykorzystać token udostępnienia do bezpośredniego dostępu do przesyłania fragmentów i zobaczyć tymczasowe pliki podczas trwających przesyłek.

CVE-2026-45153
Medium

Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 33.0.0 do przed 33.1.0, po odblokowaniu zablokowanego telefonu z systemem Android, przycisk wstecz mógł być użyty do ominięcia kodu PIN aplikacji Nextcloud Files. Problem ten został naprawiony w wersji 33.1.0.

CVE-2026-44740
Medium

Billy to abstrakcja systemu plików dla Go. W wersjach przed 5.9.0 i 6.0.0-alpha.1, wiele komponentów może niewłaściwie obsługiwać spreparowane lub uszkodzone dane wejściowe, co prowadzi do panik, nieskończonych pętli, niekontrolowanej rekurencji lub nadmiernego zużycia zasobów.

CVE-2026-42679
Medium

W podatności CVE-2026-42679 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu, co umożliwia atak typu 'Path Traversal' w aplikacji Classified Listing. Problem ten dotyczy wersji od n/a do 5.3.8.

CVE-2026-42676
Medium

W podatności CVE-2026-42676 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w myCred, co prowadzi do możliwości wystąpienia ataków typu Stored XSS. Problem ten dotyczy wersji myCred od n/a do 3.0.4.

CVE-2026-42671
Medium

W podatności CVE-2026-42671 w Paolo GeoDirectory występuje brak autoryzacji, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji GeoDirectory od n/a do 2.8.157.

CVE-2026-10275
Medium

W OpenSC w wersjach do 0.26.1 znaleziono lukę w funkcji test_kpgen_certwrite w pliku src/tools/pkcs11-tool.c modułu generowania kluczy pkcs11-tool. Luka ta prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.

CVE-2026-10274
Medium

Wykryto podatność w indrasishbanerjee aem-mcp-server do wersji b5f833aef9b5dfd17a5991b3b18a8a11edbdc583, która dotyczy funkcji getAssetMetadata w pliku src/mcp-server.ts komponentu Axios Request Flow. Manipulacja argumentem assetPath może prowadzić do ataku typu server-side request forgery, który można przeprowadzić zdalnie.

CVE-2026-10272
Medium

W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano podatność w nieznanej funkcji pliku admin/deleteform.php. Manipulacja argumentem sid prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10271
Medium

W systemie zarządzania studentami a4m4 do wersji f0c5f6842c5e8c431ff02b5260a565ca844df3a0 zidentyfikowano lukę w nieznanej funkcji pliku admin/ w komponencie Admin Endpoint. Manipulacja argumentem uid prowadzi do wykonania kodu po przekierowaniu, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10269
Medium

Wykryto podatność w decolua 9router do wersji 0.4.0, która dotyczy funkcji isAuthenticated w pliku src/dashboardGuard.js komponentu HTTP Header Handler. Manipulacja argumentem Host prowadzi do niewłaściwej autoryzacji, co umożliwia zdalny atak.

CVE-2026-48559
Medium

LMS up to version 3.76.0 contains a stored cross-site scripting vulnerability that allows attackers to execute arbitrary JavaScript by embedding malicious HTML in media file metadata tags (e.g., GENRE, ARTIST, ALBUM). An attacker can introduce a crafted media file into the victim's library, causing the payload to be saved during scanning and automatically executed in the web interface due to unsanitized rendering of tag content.

CVE-2026-10533
Medium

A flaw was found in OpenShift Container Platform that allows a non-privileged user to generate a large volume of events. This can lead to API server performance degradation across the cluster.

PreviousPage 222 of 593Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS