CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-47331
High

Ubuntu Linux 6.8 contains AppArmor SAUCE patches which fail to acquire a lock when modifying a linked list. An unprivileged local user could trigger the race condition that can lead to a use-after-free (UAF) and, theoretically, arbitrary code execution.

CVE-2026-46509
High

W wersjach przed 1.0.3 biblioteki deepobj możliwe było zanieczyszczenie prototypu, gdy ścieżki właściwości zawierały __proto__/constructor/prototype. Właściwości te nie powinny być udostępniane jako dane wejściowe od użytkownika.

CVE-2026-45332
High

Automad to system zarządzania treścią i silnik szablonów oparty na plikach. W wersjach od 2.0.0-alpha.1 do 2.0.0-beta.27 występuje podatność na złamanie kontroli dostępu, która pozwala nieautoryzowanemu atakującemu na pobranie hasha hasła bcrypt każdego konta administratora za pomocą jednego żądania POST.

CVE-2026-45044
High

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. W wersjach przed 1.0.0-beta.2, router administracyjny jawnie zezwalał na dostęp do /profile/cpu i /profile/memory bez uwierzytelnienia, co pozwalało nieautoryzowanym klientom HTTP na wywoływanie handlerów profilowania.

CVE-2026-45042
High

RustFS to rozproszony system przechowywania obiektów zbudowany w języku Rust. Przed wersją 1.0.0-beta.2, niewłaściwe autoryzowanie w operacji UploadPartCopy pozwalało na kopiowanie obiektów między kubełkami bez egzekwowania ograniczeń dotyczących dozwolonych źródeł kopiowania w kubełku docelowym.

CVE-2026-45041
High

RustFS to rozproszony system przechowywania obiektów zbudowany w Rust. W wersjach przed 1.0.0-beta.2, w pliku crates/appauth/src/token.rs, znajduje się 2048-bitowy klucz prywatny RSA jako stała tekstowa o nazwie TEST_PRIVATE_KEY, który jest używany w produkcji do 'weryfikacji' tokenów licencyjnych.

CVE-2026-30761
High

W komponentach pages/admin.uploadmapimg.php w SourceBans Material Admin v1.1.6 występuje podatność na przesyłanie dowolnych plików, która pozwala atakującym na wykonanie dowolnego kodu poprzez przesłanie spreparowanego pliku graficznego.

CVE-2026-30760
High

Problem w SourceBans Material Admin przed wersją 1.1.6 (3ecd95e) umożliwia atakującym manipulację dowolnymi danymi użytkowników w aplikacji webowej za pomocą spreparowanego wywołania XAJAX.

CVE-2026-45373
High

CodeWhale to agent kodujący DeepSeek + MiMo w terminalu. Przed wersją 0.8.26, mimo że SSRF jest weryfikowane względem nazw hostów, które rozwiązują się do prywatnych adresów IPv6, podanie adresu IPV6 w URL jako http://[::1] omija zabezpieczenia SSRF.

CVE-2026-45353
High

Electerm to otwartoźródłowy klient terminala/ssh/sftp/telnet/port szeregowy/RDP/VNC/Spice/ftp. Wersje od 3.0.6 do 3.8.8 zawierają podatność, która została naprawiona w wersji 3.9.0.

CVE-2026-45348
High

pyLoad to darmowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, szablon packages.js interpoluje URL linku w szablonie HTML, co pozwala atakującemu na wstrzyknięcie JavaScript do przeglądarki użytkowników, którzy otwierają widok pobierania.

CVE-2026-45310
High

CodeWhale to agent kodowania DeepSeek + MiMo w terminalu. W wersjach przed 0.8.22 narzędzie fetch_url weryfikuje adres IP początkowego URL-a, ale nie sprawdza ponownie adresu docelowego po przekierowaniach, co może prowadzić do ataków SSRF na usługi wewnętrzne.

CVE-2026-45296
High

OpenReplay is a session replay suite that prior to version 1.26.0 had vulnerabilities in its Python API. There were app_apikey routes that trusted the caller-provided projectKey, allowing attackers to access projects of other tenants.

CVE-2026-44798
High

In Nautobot prior to versions 2.4.33 and 3.1.2, a user with access to add/change a GitRepository record could use the REST API to directly set the current_head field, which was not intended to be user-editable. This could lead to outdated states of local clones of the repositories or prevent the use of the repository altogether.

CVE-2026-44797
High

Nautobot to platforma automatyzacji sieci i źródło prawdy o sieci. W wersjach przed 2.4.33 i 3.1.2, model danych Webhooka mógł być konfigurowany przez użytkowników z odpowiednimi uprawnieniami, co pozwalało na wykonywanie nieautoryzowanych żądań do różnych hostów i adresów IP, co przypomina atak typu server-side request forgery (SSRF).

CVE-2026-34126
High

TP-Link zidentyfikował podatność w urządzeniach Tapo L535E v1.0 i v3.0, Tapo P300 v1.0 oraz Tapo D100C v1.0, gdzie komunikacja Bluetooth podczas początkowej konfiguracji jest przesyłana w postaci niezaszyfrowanej. Atakujący w zasięgu Bluetooth może wykorzystać tę lukę do podsłuchiwania komunikacji oraz manipulacji danymi konfiguracyjnymi.

CVE-2026-9096
High

Wersje Casdoor 2.362.0 i wcześniejsze nie egzekwują ograniczeń czasowych dla asercji SAML. Biblioteka gosaml2 raportuje wyniki walidacji czasowej, jednak funkcja ParseSamlResponse() nie odczytuje tych informacji, co prowadzi do ich cichego zignorowania przed wydaniem sesji użytkownika.

CVE-2026-9095
High

In Casdoor versions 2.362.0 and earlier, SAML assertions are mapped to user sessions without replay protection. The ParseSamlResponse() function does not implement replay detection mechanisms, allowing attackers to reuse captured SAML assertions.

CVE-2026-8697
High

W wyniku niewłaściwego egzekwowania limitu prób uwierzytelniania w debugowym serwisie SSH w Archer C64 v1, serwis SSH pozwala na nieograniczone próby uwierzytelnienia, używając tych samych danych logowania co interfejs webowy. To umożliwia atakującemu przeprowadzenie ataku brute-force na ważne dane logowania przez SSH.

CVE-2026-44543
High

Local Path Provisioner in Kubernetes allows users to utilize local storage on each node. In versions prior to 0.0.36, a malicious user with permission to edit the local-path-config ConfigMap can manipulate the helperPod.yaml template, leading to the creation of privileged pods.

PreviousPage 225 of 3355Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS