CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
alf.io to otwartoźródłowy system rezerwacji biletów na konferencje, targi, warsztaty i spotkania. W wersjach przed 2.0-M5-2606, rozszerzenie alf.io wstrzykuje w pełni funkcjonalnego klienta HTTP do każdego skryptu rozszerzenia, co pozwala na odczyt dowolnych plików z systemu plików bez walidacji ścieżki.
A vulnerability in the Go x509 library causes quadratic cost growth when verifying hostnames against certificates with a large number of DNS SAN entries. The VerifyHostname function repeatedly splits the same hostname, leading to disproportionate CPU load.
QloApps through version 1.7.0 (fixed in commit 64e9722) uses the weak MD5 cryptographic algorithm for password hashing in the Tools::encrypt() function within classes/Tools.php. Attackers can perform offline brute-force attacks on passwords, with the risk amplified by auto-generated 8-character passwords during guest-to-customer account conversion in classes/Customer.php.
W openSeaChest w wersji 26.03.0 firmy Seagate występuje błąd zapisu poza przydzieloną pamięcią podczas operacji Trim/Unmap. Umożliwia to zapisanie dodatkowych 16 bajtów pamięci poza przydzieloną przestrzenią podczas wykonywania tej operacji.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji execute_blender_code w pliku /src/blender_mcp/server.py, gdzie manipulacja argumentem code prowadzi do wstrzyknięcia kodu. Atak może być przeprowadzony zdalnie.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji requests.get w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem zip_file_url prowadzi do ataku typu server-side request forgery.
OpenCTI to platforma open source do zarządzania wiedzą o zagrożeniach cybernetycznych. Wersje przed 7.260227.0 są podatne na ataki XSS w renderowaniu danych z ciała wiadomości e-mail, ponieważ pole to nie jest odpowiednio oczyszczane. Wymaga interakcji użytkownika, ale może być wykorzystane przez osoby dzielące się stix lub innymi narzędziami do wczytywania danych.
Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji Open w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem input_image_url prowadzi do możliwości wstrzyknięcia kodu. Możliwe jest zdalne wykorzystanie tej podatności.
W bibliotece warmcat libwebsockets do wersji 4.5.8 znaleziono lukę, która dotyczy funkcji lws_ssh_parse_plaintext w pliku plugins/protocol_lws_ssh_base/sshd.c. Manipulacja argumentem msg_len może prowadzić do nadmiernego zużycia zasobów, a atak może być przeprowadzony zdalnie.
Stacje anestezjologiczne Dräger Zeus Infinity Empowered (Zeus IE) oraz Zeus RS C500 zawierają lokalną podatność bezpieczeństwa, która umożliwia nieautoryzowanym osobom z dostępem fizycznym do kompromitacji integralności oprogramowania poprzez manipulację interfejsem USB. Atakujący mogą wykorzystać niechronione interfejsy USB do zakłócania funkcji terapeutycznych oraz manipulacji danymi przetwarzanymi przez urządzenie.
A path traversal vulnerability in BrowserStack Runner up to version 0.9.5, present in the default HTTP handler in lib/server.js. Unauthenticated network-adjacent attackers can read arbitrary files by exploiting the unauthenticated HTTP server bound on all interfaces.
CloudburstMC Protocol to biblioteka protokołów dla Minecraft Bedrock Edition. W wersjach przed 3.0.0.Beta12-20260420.182526-15 występuje częściowy brak walidacji tokenów autoryzacyjnych typu FULL, co może prowadzić do nieautoryzowanego dostępu.
W wersjach przed 2026.2.3, dostawca WS-Federation w authentik weryfikuje parametr wreply użytkownika za pomocą prostego sprawdzenia prefiksu, zamiast właściwego parsowania URL. Atakujący może stworzyć link logowania, który umożliwia podanie wartości wreply z innego źródła, co prowadzi do wysłania odpowiedzi logowania WS-Federation do infrastruktury kontrolowanej przez atakującego.
W systemie SourceCodester Human Resource Management w wersji 1.0 odkryto podatność w nieznanej funkcjonalności pliku /detailview.php, dotyczącej strony widoku pracownika. Manipulacja argumentem employeeid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.
Wtyczka ARMember Premium dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'sSortDir_0' w akcji AJAX `get_private_content_data` we wszystkich wersjach do i włącznie z 7.3.1. Problem wynika z niewystarczającej sanitizacji parametru dostarczonego przez użytkownika, który jest bezpośrednio łączony w klauzuli ORDER BY zapytania SQL bez sprawdzenia białej listy.
FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na odczyt poza granicami w parserze pakietów IPv4. Problem występuje w src/simple_packet_parser_ng.cpp, gdzie po walidacji długości pakietu, wskaźnik lokalny jest przesuwany bez odpowiedniej walidacji wartości IHL, co może prowadzić do nadmiernego odczytu pamięci.
React Router, używany w aplikacjach React, ma podatność na otwarte przekierowania w wersjach od 7.0.0 do 7.14.0 oraz od 6.7.0 do 6.30.3. Przekazywanie określonych URL-i do funkcji przekierowania może prowadzić do nieautoryzowanego przekierowania na zewnętrzne domeny, jeśli wartości ścieżek zaczynają się od //. Problem ten nie dotyczy aplikacji korzystających z trybu deklaratywnego (<BrowserRouter>).
Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.
In AIOHTTP before version 3.14.0, a vulnerability allows arbitrary code execution when using ``CookieJar.load()`` with untrusted input. Most applications use this function with user's own data, so impact is limited, but attacker-controlled files pose a risk.
CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.

