CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
W podatności Incorrect Default Permissions w Apache ActiveMQ, przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6, domyślne ustawienia autoryzacji Jolokia przyznawały kontom web-login o niskich uprawnieniach dostęp do operacji Jolokia. To umożliwiało wykonywanie operacji zarządzania brokerem, które były przeznaczone dla administratorów, takich jak dodawanie i usuwanie kolejek.
W Apache MINA SSHD w pakiecie sshd-git występuje podatność na przejście ścieżki. Brak walidacji ścieżki w operacjach git-upload-pack, git-receive-pack oraz innych operacjach git pozwala użytkownikom uwierzytelnionym przez SSH na dostęp do repozytoriów git poza skonfigurowanym katalogiem głównym serwera git.
W podatności CVE-2026-45505 występuje niewłaściwa walidacja wejścia oraz niewłaściwa kontrola generacji kodu w Apache ActiveMQ, co pozwala na obejście poprawek w CVE-2026-34197. Niepoprawnie walidowane wrappery odkrycia umożliwiają atakującym wykonanie złośliwego kodu na JVM brokera.
W dekoderze odniesień terminów (`SerializedCustomReference.deserialize_reference`) w harmonogramie Apache Airflow występuje podatność, która pozwala na importowanie i uruchamianie dowolnych ścieżek klas kontrolowanych przez autora DAG-a. Może to prowadzić do wykonania złośliwego kodu w kontekście sesji SQLAlchemy.
W narzędziu do konfiguracji uwierzytelniania podstawowego (bin/solr auth enable) w Apache Solr w wersjach od 9.4.0 do 9.10.1 oraz 10.0.0 występują twardo zakodowane dane uwierzytelniające, co pozwala zdalnemu atakującemu uzyskać pełny dostęp administracyjny do klastra za pomocą publicznie znanych domyślnych danych uwierzytelniających. Problem ten dotyczy instalacji, które nie zmieniły domyślnych haseł dla użytkowników szablonowych.
Podatność CVE-2026-42588 dotyczy niewłaściwej walidacji wejścia oraz niewłaściwej kontroli generowania kodu w Apache ActiveMQ. Umożliwia to uwierzytelnionemu atakującemu wykonanie dowolnego kodu na JVM brokera poprzez manipulację parametrem brokerConfig.
Błąd w punkcie końcowym PATCH XCom w Apache Airflow (`PATCH /api/v2/xcomEntries/{key}`) pozwalał uwierzytelnionemu użytkownikowi z uprawnieniami do zapisu XCom na Dag na ustawienie wpisów XCom pod zarezerwowanymi nazwami kluczy, co prowadziło do możliwości zdalnego wykonania kodu (RCE). Problem ten dotyczy wdrożeń, w których nieufni użytkownicy mają uprawnienia do zapisu XCom na Dagach, które odwołują się do wywołującego.
Błąd w API masowych instancji zadań Apache Airflow umożliwia użytkownikom z uprawnieniami edycji do modyfikacji stanu instancji zadań w innych DAG-ach, wykorzystując nieprawidłowe sprawdzenie autoryzacji. Problem występuje, gdy `dag_id` jest pobierane z URL, a `dag_id` i `dag_run_id` z ciała żądania.
Błąd w trasie przekierowania logowania w Apache Airflow pozwalał uwierzytelnionym użytkownikom na tworzenie adresów URL, które omijały kontrolę `is_safe_url`. To umożliwiało przekierowanie z zaufanej domeny Airflow do źródła kontrolowanego przez atakującego.
SOPlanning jest podatny na atak typu SQL Injection w wielu punktach końcowych i parametrach. Napastnik z niskimi uprawnieniami może wstrzykiwać dowolne polecenia SQL, co może prowadzić do pełnej kontroli nad bazą danych.
SOPlanning nie wymusza autoryzacji dla funkcji tworzenia kopii zapasowych. Nieautoryzowany atakujący może bezpośrednio zapytać o punkty końcowe związane z kopiami zapasowymi i uzyskać archiwa kopii zapasowych zawierające bazy danych użytkowników z nazwami użytkowników i haszami haseł, a także plik config.csv, który zawiera dodatkowe wrażliwe informacje.
Występuje problem z łańcuchowaniem uprawnień w ServerView Agents dla systemu Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.
Występuje nieprawidłowe przypisanie uprawnień do krytycznego zasobu w ServerView Agents dla Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.
W systemie Smart Parking System 1.0 wykryto podatność bezpieczeństwa w nieznanej funkcji komponentu Admin Endpoint. Manipulacja tą funkcją prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W systemie zarządzania rachunkami wodnymi SourceCodester w wersji 1.0 odkryto podatność. Problem dotyczy niewłaściwego przetwarzania pliku /classes/Users.php?f=save w komponencie zarządzania użytkownikami, co prowadzi do nieprawidłowej autoryzacji.
Wersja 2.1.7 implementacji klienta LDAP nie weryfikuje, czy certyfikat serwera odpowiada zamierzonemu hostname'owi LDAP. Brak identyfikacji punktu końcowego pozwala na akceptację ważnego certyfikatu wydanego dla zupełnie innego hosta, co stwarza ryzyko podszywania się pod serwer i całkowitego kompromitowania połączenia.
W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku add_user_check.php komponentu obsługi tworzenia użytkowników. Manipulacja argumentem 'role' prowadzi do wstrzykiwania SQL.
W systemie zarządzania studentami raisulislamg4 zidentyfikowano lukę, która może prowadzić do wstrzykiwania SQL. Problem dotyczy nieznanej funkcji w pliku delete.php, gdzie manipulacja argumentami user_id/course_id/teacher_id/student_id/application_id może umożliwić atak. Wykorzystanie tej luki może być przeprowadzone zdalnie.
W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy pliku login_check.php w komponencie Logowanie. Manipulacja argumentem Nazwa użytkownika prowadzi do wstrzyknięcia SQL, co może być zainicjowane zdalnie.
An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions.

