CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-41412
Medium

alf.io to otwartoźródłowy system rezerwacji biletów na konferencje, targi, warsztaty i spotkania. W wersjach przed 2.0-M5-2606, rozszerzenie alf.io wstrzykuje w pełni funkcjonalnego klienta HTTP do każdego skryptu rozszerzenia, co pozwala na odczyt dowolnych plików z systemu plików bez walidacji ścieżki.

CVE-2026-27145
MediumEPSS 57%

A vulnerability in the Go x509 library causes quadratic cost growth when verifying hostnames against certificates with a large number of DNS SAN entries. The VerifyHostname function repeatedly splits the same hostname, leading to disproportionate CPU load.

CVE-2026-25861
Medium

QloApps through version 1.7.0 (fixed in commit 64e9722) uses the weak MD5 cryptographic algorithm for password hashing in the Tools::encrypt() function within classes/Tools.php. Attackers can perform offline brute-force attacks on passwords, with the risk amplified by auto-generated 8-character passwords during guest-to-customer account conversion in classes/Customer.php.

CVE-2026-10718
Medium

W openSeaChest w wersji 26.03.0 firmy Seagate występuje błąd zapisu poza przydzieloną pamięcią podczas operacji Trim/Unmap. Umożliwia to zapisanie dodatkowych 16 bajtów pamięci poza przydzieloną przestrzenią podczas wykonywania tej operacji.

CVE-2026-10688
Medium

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji execute_blender_code w pliku /src/blender_mcp/server.py, gdzie manipulacja argumentem code prowadzi do wstrzyknięcia kodu. Atak może być przeprowadzony zdalnie.

CVE-2026-10662
Medium

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji requests.get w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem zip_file_url prowadzi do ataku typu server-side request forgery.

CVE-2026-35212
Medium

OpenCTI to platforma open source do zarządzania wiedzą o zagrożeniach cybernetycznych. Wersje przed 7.260227.0 są podatne na ataki XSS w renderowaniu danych z ciała wiadomości e-mail, ponieważ pole to nie jest odpowiednio oczyszczane. Wymaga interakcji użytkownika, ale może być wykorzystane przez osoby dzielące się stix lub innymi narzędziami do wczytywania danych.

CVE-2026-10661
Medium

Wykryto podatność w ahujasid blender-mcp do wersji 7636d13bded82eca58eb93c3f4cd8708dfdfbe8b. Problem dotyczy funkcji Open w pliku src/blender_mcp/server.py, gdzie manipulacja argumentem input_image_url prowadzi do możliwości wstrzyknięcia kodu. Możliwe jest zdalne wykorzystanie tej podatności.

CVE-2026-10650
Medium

W bibliotece warmcat libwebsockets do wersji 4.5.8 znaleziono lukę, która dotyczy funkcji lws_ssh_parse_plaintext w pliku plugins/protocol_lws_ssh_base/sshd.c. Manipulacja argumentem msg_len może prowadzić do nadmiernego zużycia zasobów, a atak może być przeprowadzony zdalnie.

CVE-2025-15653
Medium

Stacje anestezjologiczne Dräger Zeus Infinity Empowered (Zeus IE) oraz Zeus RS C500 zawierają lokalną podatność bezpieczeństwa, która umożliwia nieautoryzowanym osobom z dostępem fizycznym do kompromitacji integralności oprogramowania poprzez manipulację interfejsem USB. Atakujący mogą wykorzystać niechronione interfejsy USB do zakłócania funkcji terapeutycznych oraz manipulacji danymi przetwarzanymi przez urządzenie.

CVE-2026-49144
Medium

A path traversal vulnerability in BrowserStack Runner up to version 0.9.5, present in the default HTTP handler in lib/server.js. Unauthenticated network-adjacent attackers can read arbitrary files by exploiting the unauthenticated HTTP server bound on all interfaces.

CVE-2026-45289
Medium

CloudburstMC Protocol to biblioteka protokołów dla Minecraft Bedrock Edition. W wersjach przed 3.0.0.Beta12-20260420.182526-15 występuje częściowy brak walidacji tokenów autoryzacyjnych typu FULL, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-41569
Medium

W wersjach przed 2026.2.3, dostawca WS-Federation w authentik weryfikuje parametr wreply użytkownika za pomocą prostego sprawdzenia prefiksu, zamiast właściwego parsowania URL. Atakujący może stworzyć link logowania, który umożliwia podanie wartości wreply z innego źródła, co prowadzi do wysłania odpowiedzi logowania WS-Federation do infrastruktury kontrolowanej przez atakującego.

CVE-2026-10624
Medium

W systemie SourceCodester Human Resource Management w wersji 1.0 odkryto podatność w nieznanej funkcjonalności pliku /detailview.php, dotyczącej strony widoku pracownika. Manipulacja argumentem employeeid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.

CVE-2026-5074
Medium

Wtyczka ARMember Premium dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'sSortDir_0' w akcji AJAX `get_private_content_data` we wszystkich wersjach do i włącznie z 7.3.1. Problem wynika z niewystarczającej sanitizacji parametru dostarczonego przez użytkownika, który jest bezpośrednio łączony w klauzuli ORDER BY zapytania SQL bez sprawdzenia białej listy.

CVE-2026-48682
Medium

FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na odczyt poza granicami w parserze pakietów IPv4. Problem występuje w src/simple_packet_parser_ng.cpp, gdzie po walidacji długości pakietu, wskaźnik lokalny jest przesuwany bez odpowiedniej walidacji wartości IHL, co może prowadzić do nadmiernego odczytu pamięci.

CVE-2026-40181
Medium

React Router, używany w aplikacjach React, ma podatność na otwarte przekierowania w wersjach od 7.0.0 do 7.14.0 oraz od 6.7.0 do 6.30.3. Przekazywanie określonych URL-i do funkcji przekierowania może prowadzić do nieautoryzowanego przekierowania na zewnętrzne domeny, jeśli wartości ścieżek zaczynają się od //. Problem ten nie dotyczy aplikacji korzystających z trybu deklaratywnego (<BrowserRouter>).

CVE-2026-35049
Medium

Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.

CVE-2026-34993
Medium

In AIOHTTP before version 3.14.0, a vulnerability allows arbitrary code execution when using ``CookieJar.load()`` with untrusted input. Most applications use this function with user's own data, so impact is limited, but attacker-controlled files pose a risk.

CVE-2026-33553
Medium

CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.

PreviousPage 237 of 617Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS