CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
W panelu administracyjnym e-commerce Shopper przed wersją 2.8.0, uwierzytelniony użytkownik o niskich uprawnieniach mógł wykonywać różne akcje na szczegółach zamówień i tabeli wysyłek bez wymaganych uprawnień do ich modyfikacji. Umożliwiało to m.in. anulowanie zamówień oraz przeprowadzanie rzeczywistych transakcji płatniczych.
SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu oraz obrazów. W wersjach przed 1.18.0, SillyTavern udostępniał endpoint /api/search/searxng, który akceptował kontrolowany przez atakującego baseUrl, co pozwalało na wykonanie nieautoryzowanych zapytań do wewnętrznych usług HTTP.
SillyTavern to lokalnie zainstalowany interfejs użytkownika, który umożliwia interakcję z modelami generacji tekstu i obrazów. W wersjach przed 1.18.0, SillyTavern korzysta z cookie-session do uwierzytelniania, co prowadzi do braku mechanizmu unieważniania sesji po zmianie hasła.
Urządzenie Danelec MacGregor Voyage Data Recorder zawiera domyślne dane logowania, w tym nazwę użytkownika i hasło, które nie wymagają zmiany. To stwarza ryzyko nieautoryzowanego dostępu do urządzenia.
Rejestrator danych podróży Danelec MacGregor zawiera domyślne konta z wbudowanymi poświadczeniami. To stwarza ryzyko nieautoryzowanego dostępu do systemu.
W urządzeniach NVR z serii 1xxx występuje podatność na przechowywane ataki XSS z powodu niewystarczającej sanitizacji danych wejściowych dostarczanych przez użytkowników w określonych modułach funkcjonalnych. Atakujący mogą wstrzykiwać złośliwe skrypty, które są następnie trwale przechowywane w backendzie urządzenia.
The Frontier X2 device allows unauthenticated access to critical GATT characteristics via BLE without pairing authentication. Attackers can control device functions and inject fabricated health telemetry data.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.4, metoda ProjectService.GetProjectFileContent zwracała zawartość dowolnej dyrektywy include z pliku compose projektu przed przeprowadzeniem walidacji ścieżek, co umożliwiało atakującemu odczytanie plików systemowych.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.2, punkt końcowy PUT /api/environments/{id}/templates/variables nie sprawdzał autoryzacji administratora, co pozwalało uwierzytelnionym użytkownikom niebędącym administratorami na nadpisywanie globalnych zmiennych środowiskowych.
Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.19.0, nieautoryzowany endpoint GET /api/app-images/logo odzwierciedla parametr zapytania koloru dostarczony przez użytkownika w treści dokumentu SVG, co pozwala na wstrzyknięcie złośliwego kodu JavaScript.
Klever-Go, implementacja protokołu blockchain Klever, przed wersją 1.7.17 zawiera podatność na zdalny, nieautoryzowany atak typu denial-of-service w funkcji Batch.Decompress. Atakujący może wykorzystać mały ładunek danych do przydzielenia wielogigabajtowych pamięci na węźle odbierającym, co prowadzi do awarii walidatora.
W wersji xiaomusic v0.5.7 występuje podatność na nieautoryzowany dostęp do plików poprzez przejście ścieżki w punkcie końcowym GET /music/{file_path:path}. Atakujący mogą odczytać dowolne pliki spoza zamierzonego katalogu muzycznego, wykorzystując niekompletną kontrolę prefiksu ścieżki.
MoviePilot v2 zawiera podatność typu server-side request forgery w punkcie końcowym proxy obrazów, która pozwala uwierzytelnionym atakującym na żądanie dowolnych adresów URL poprzez dostarczenie ciasteczka resource_token oraz adresu URL, którego domena znajduje się na liście dozwolonych. Atakujący mogą obejść wewnętrzne zabezpieczenia sieciowe, ponieważ funkcja SecurityUtils.is_safe_url sprawdza jedynie przynależność domeny.
W wersji 2.6.5 agno występuje podatność na wstrzykiwanie SQL w backendzie bazy danych ClickHouse. Umożliwia to atakującym wstrzykiwanie dowolnych wyrażeń SQL poprzez dostarczenie złośliwych kluczy i wartości metadanych do metody delete_by_metadata().
GitHub CLI (gh) przed wersją 2.93.0 błędnie dołącza nagłówek autoryzacji w żądaniach API do luster repozytoriów TUF. Logika normalizacji hosta powoduje, że subdomeny *.github.com są traktowane jako github.com, co prowadzi do nieautoryzowanego przekazywania tokenów.
Dokploy to darmowa, samodzielna platforma jako usługa (PaaS). W wersjach 0.29.0 i wcześniejszych funkcja deleteRegistry wykonuje polecenie docker logout ${response.registryUrl} bez odpowiedniego zabezpieczenia przed wstrzyknięciem poleceń, co prowadzi do podatności na wstrzyknięcie poleceń podczas usuwania rejestru z wykorzystaniem spreparowanego registryUrl.
The template upload feature in Emlog Pro v2.6.9 has a path traversal vulnerability, allowing authenticated administrators to execute arbitrary PHP code. By uploading a malicious ZIP archive containing directory traversal sequences in filenames, an attacker can overwrite default template files or directly include malicious code files in the current template.
OpenClaw przed wersją 2026.5.18 zawiera podatność na obejście zakresu w trasie Gateway chat.send, która pozwala klientom z ograniczonym zakresem na wykonywanie uprzywilejowanych poleceń. Atakujący z zakresem operator.write mogą dostarczać polecenia przez dziedziczone zewnętrzne trasy, omijając wymagania dotyczące operator.approvals i operator.admin.
OpenClaw przed wersją 2026.5.18 zawiera lukę w autoryzacji, która pozwala użytkownikom bez uprawnień na klikanie przycisków zatwierdzania w QQBot. Luka ta nie egzekwuje tożsamości zatwierdzającego, co umożliwia nieautoryzowanym użytkownikom rozwiązywanie oczekujących wniosków o zatwierdzenie wykonania lub wtyczki.
OpenClaw przed wersją 2026.5.4 zawiera lukę w autoryzacji w wtyczce do parowania urządzeń, która pozwala nieuprawnionym nadawcom czatu na wydawanie kodów bootstrap do parowania urządzeń bez odpowiedniej walidacji zakresu. Atakujący z dostępem do poleceń czatu mogą tworzyć kody konfiguracyjne, aby zarejestrować urządzenia z uprawnieniami operatora/węzła.

