CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
FlexRIC w wersji 2.0.0 ulega awarii po otrzymaniu RIC_SUBSCRIPTION_RESPONSE z nieznanym ric_id, które nie ma odpowiadającego oczekującego zdarzenia. Near-RT RIC wykorzystuje assert() do wymuszenia istnienia oczekującego zdarzenia podczas przetwarzania odpowiedzi.
FlexRIC w wersji 2.0.0 ulega awarii, gdy zamknięcie asocjacji SCTP następuje przed wysłaniem żądania E2_SETUP_REQUEST. System zakłada istnienie mapowania między asocjacją SCTP a węzłem E2 w ścieżce czyszczenia, co jest egzekwowane przez assert().
W systemie zarządzania naprawą komputerów SourceCodester do wersji 1.0 zidentyfikowano podatność. Manipulacja argumentem ID w pliku /admin/products/manage_product.php prowadzi do wstrzykiwania SQL. Atak może być przeprowadzony zdalnie.
W kodzie projektu Real State Services 1.0 odkryto podatność, która dotyczy nieznanej funkcji w pliku /loginuser.php komponentu Logowanie. Manipulacja argumentem Username prowadzi do wstrzykiwania SQL.
W systemie CodeAstro Online Job Portal w wersji 1.0 znaleziono lukę, która dotyczy nieznanej funkcji w pliku /users/application_status.php. Manipulacja argumentem ID może prowadzić do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
W systemie CodeAstro Online Job Portal w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /admin/jobs-admins/delete-jobs.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność bezpieczeństwa w H3C Magic B0 do wersji 100R002. Problem dotyczy funkcji SetMobileAPInfoById w pliku /goform/aspForm, gdzie manipulacja argumentem param prowadzi do przepełnienia bufora na stosie.
Vertex is a management tool for PT users that is vulnerable to path traversal in versions prior to commit fbde301b97986d5913fc4bc95f5445750d282e11. Users should upgrade to a version containing this commit to receive a patch.
W systemie wynajmu mieszkań itsourcecode Online House Rental System w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /manage_payment.php. Manipulacja argumentem ID prowadzi do wstrzykiwania SQL, co umożliwia zdalne przeprowadzenie ataku.
W systemie wynajmu mieszkań itsourcecode Online House Rental System w wersji 1.0 wykryto podatność na SQL injection w nieznanej funkcji pliku /manage_tenant.php. Manipulacja argumentem ID umożliwia zdalne przeprowadzenie ataku.
Zidentyfikowano słabość w systemie wynajmu mieszkań itsourcecode Online House Rental System w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /ajax.php?action=login, gdzie manipulacja argumentem Username może prowadzić do wstrzyknięcia SQL.
W systemie zarządzania bankiem krwi itsourcecode Online Blood Bank Management System w wersji 1.0 odkryto lukę bezpieczeństwa. Problem dotyczy nieznanej funkcji w pliku /admin/campsdetails.php, która umożliwia wstrzyknięcie SQL poprzez manipulację argumentem hospital.
Zidentyfikowano podatność w systemie zarządzania bankiem krwi itsourcecode Online Blood Bank Management System w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /admin/viewrequest.php, gdzie manipulacja argumentem ID prowadzi do wstrzyknięcia SQL.
Podatność typu Stored Cross-site Scripting (XSS) w Process Experience Studio w DELMIA Service Process Engineer od wersji 3DEXPERIENCE R2024x do R2026x może umożliwić atakującemu wykonanie dowolnego kodu skryptowego w sesji przeglądarki użytkownika.
Wersje Apache Fluss przed 0.9.1 konfigurowały Netty LengthFieldBasedFrameDecoder z maksymalną długością ramki ustawioną na Integer.MAX_VALUE, co pozwalało nieautoryzowanym zdalnym atakującym na wyczerpanie pamięci JVM na TabletServer i CoordinatorServer poprzez wysyłanie specjalnie przygotowanych nagłówków ramek, co prowadziło do odmowy usługi.
Błąd w KubernetesExecutor Apache Airflow powoduje, że tokeny JWT używane przez podów roboczych do uwierzytelniania w Execution API są przekazywane do kontenera roboczego jako argumenty wiersza poleceń, widoczne w specyfikacji poda. Użytkownik z uwierzytelnionym dostępem do UI/API i uprawnieniami tylko do odczytu w klastrze Kubernetes może zebrać token JWT z wyjścia `kubectl describe pod` i wywołać punkty końcowe Execution API, co może prowadzić do nieautoryzowanych działań.
W podatności Incorrect Default Permissions w Apache ActiveMQ, przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6, domyślne ustawienia autoryzacji Jolokia przyznawały kontom web-login o niskich uprawnieniach dostęp do operacji Jolokia. To umożliwiało wykonywanie operacji zarządzania brokerem, które były przeznaczone dla administratorów, takich jak dodawanie i usuwanie kolejek.
W Apache MINA SSHD w pakiecie sshd-git występuje podatność na przejście ścieżki. Brak walidacji ścieżki w operacjach git-upload-pack, git-receive-pack oraz innych operacjach git pozwala użytkownikom uwierzytelnionym przez SSH na dostęp do repozytoriów git poza skonfigurowanym katalogiem głównym serwera git.
W podatności CVE-2026-45505 występuje niewłaściwa walidacja wejścia oraz niewłaściwa kontrola generacji kodu w Apache ActiveMQ, co pozwala na obejście poprawek w CVE-2026-34197. Niepoprawnie walidowane wrappery odkrycia umożliwiają atakującym wykonanie złośliwego kodu na JVM brokera.
W dekoderze odniesień terminów (`SerializedCustomReference.deserialize_reference`) w harmonogramie Apache Airflow występuje podatność, która pozwala na importowanie i uruchamianie dowolnych ścieżek klas kontrolowanych przez autora DAG-a. Może to prowadzić do wykonania złośliwego kodu w kontekście sesji SQLAlchemy.

