CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-10110
High

W systemie zarządzania danymi studentów w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /index.php. Manipulacja argumentem 'roll' prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-48557
High

Spatie Laravel Media Library przed wersją 11.23.0 zawiera lukę umożliwiającą obejście ograniczeń przesyłania plików w metodzie FileAdder::defaultSanitizer(). Sanitizer sprawdza jedynie końcówkę nazwy pliku, co pozwala na obejście blokady przez pliki z podwójną rozszerzeniem, takie jak shell.php.jpg.

CVE-2026-48555
High

Spatie Laravel Media Library przed wersją 11.23.0 zawiera podatność typu server-side request forgery, która umożliwia zdalnym atakującym powodowanie, że serwer wysyła dowolne wychodzące żądania HTTP, przekazując kontrolowane przez użytkownika adresy URL do metody addMediaFromUrl() w pliku InteractsWithMedia.php.

CVE-2026-47266
High

Formie to wtyczka do Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.21 i 3.1.26, nieautoryzowani użytkownicy mogli modyfikować istniejące zgłoszenia, przesyłając znane lub odgadnięte ID zgłoszenia do formie/submissions/save-submission.

CVE-2026-47123
High

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach przed 1.8.220, proces przetwarzania e-maili w komendzie FetchEmails miał dwie ścieżki kodu do identyfikacji odpowiedzi agentów, co umożliwiało atakującym wstrzykiwanie fałszywych wiadomości jako odpowiedzi agentów.

CVE-2026-46599
High

Dekoder TIFF nie wprowadza limitu na rozmiar danych skompresowanych metodą PackBits. Złośliwie przygotowany obraz może wykorzystać to, aby spowodować, że dekoder przetworzy dużą ilość skompresowanych danych, mimo że obraz jest mały pod względem szerokości/wysokości pikseli oraz rozmiaru zakodowanego.

CVE-2026-46527
High

Biblioteka cpp-httplib przed wersją 0.44.0 ma podatność, która pozwala atakującemu na wysłanie żądania HTTP z nagłówkiem X-Forwarded-For, który nie zawiera prawidłowych segmentów IP. To prowadzi do wywołania funkcji get_client_ip() na pustym wektorze, co skutkuje nieokreślonym zachowaniem w C++.

CVE-2026-46385
High

A remote denial-of-service (DoS) vulnerability was found in the iskorotkov/avro Go library. Array and map decoders loop indefinitely over an attacker-controlled block count without checking the reader's error state, allowing a malicious payload to pin a CPU core until the process is killed.

CVE-2026-46384
High

In the iskorotkov/avro library for Go, a vulnerability was found due to errors in handling 64-bit values during decoding. On 32-bit platforms and in several cases on all platforms, an attacker can bypass buffer boundary checks, select the wrong union branch, or trigger a panic (denial of service).

CVE-2026-44422
High

In FreeRDP before 3.26.0, the RDPEAR NDR parser fails to track pointer references correctly, allowing a server to assign the same heap object to two pointer fields. This leads to a double-free or use-after-free vulnerability in the client's RDPEAR authentication-redirection path.

CVE-2026-44421
High

In FreeRDP before version 3.26.0, a heap-buffer-overflow write vulnerability exists. A malicious RDP server can send crafted RDPGFX PDUs, causing memory corruption and potential code execution.

CVE-2026-44420
HighEPSS 88%

In FreeRDP prior to 3.26.0, a heap-buffer-overflow write vulnerability exists in the server-side clipboard (cliprdr) channel. A malicious RDP client can send a CB_CLIP_CAPS PDU with an undersized capabilitySetLength, causing a write beyond allocated heap memory.

CVE-2026-44285
High

FastGPT to platforma do budowania agentów AI. Przed wersją 4.15.0-beta1 występowała podatność typu Server-Side Request Forgery (SSRF), która pozwalała uwierzytelnionemu atakującemu na ominięcie globalnej ochrony isInternalAddress i wykonywanie dowolnych żądań HTTP GET do wewnętrznych usług sieciowych.

CVE-2026-49374
High

W wersjach JetBrains TeamCity przed 2026.1 występuje niewłaściwe sprawdzanie uprawnień, co prowadzi do ujawnienia parametrów konfiguracji budowy.

CVE-2026-49373
High

W wersjach JetBrains TeamCity przed 2026.1 istniała możliwość zdalnego wykonania kodu poprzez ustawienia połączenia Perforce.

CVE-2026-49372
High

W wersjach JetBrains TeamCity przed 2026.1 oraz 2025.11.5 istniała możliwość nieautoryzowanego ataku SSRF (Server-Side Request Forgery) poprzez status budowy.

CVE-2026-49371
High

W wersjach JetBrains TeamCity przed 2026.1.1 istniała możliwość wystąpienia refleksyjnego ataku XSS w filtrze słów kluczowych.

CVE-2026-49368
High

W wersjach JetBrains YouTrack przed 2026.1.13162 występowała podatność na przechowywane XSS w szablonach powiadomień projektów.

CVE-2026-49367
High

W wersjach JetBrains IntelliJ IDEA przed 2026.1.1 istniała możliwość wykonania polecenia za pośrednictwem konta gościa.

CVE-2026-49366
High

W wersjach JetBrains IntelliJ IDEA przed 2026.1.1 istniała możliwość wstrzyknięcia poleceń poprzez uzupełnianie nazw plików.

PreviousPage 230 of 3373Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS