CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2026-49157
High

W podatności Incorrect Default Permissions w Apache ActiveMQ, przed wersją 5.19.7 oraz od 6.0.0 do przed 6.2.6, domyślne ustawienia autoryzacji Jolokia przyznawały kontom web-login o niskich uprawnieniach dostęp do operacji Jolokia. To umożliwiało wykonywanie operacji zarządzania brokerem, które były przeznaczone dla administratorów, takich jak dodawanie i usuwanie kolejek.

CVE-2026-48827
High

W Apache MINA SSHD w pakiecie sshd-git występuje podatność na przejście ścieżki. Brak walidacji ścieżki w operacjach git-upload-pack, git-receive-pack oraz innych operacjach git pozwala użytkownikom uwierzytelnionym przez SSH na dostęp do repozytoriów git poza skonfigurowanym katalogiem głównym serwera git.

CVE-2026-45505
High

W podatności CVE-2026-45505 występuje niewłaściwa walidacja wejścia oraz niewłaściwa kontrola generacji kodu w Apache ActiveMQ, co pozwala na obejście poprawek w CVE-2026-34197. Niepoprawnie walidowane wrappery odkrycia umożliwiają atakującym wykonanie złośliwego kodu na JVM brokera.

CVE-2026-45360
High

W dekoderze odniesień terminów (`SerializedCustomReference.deserialize_reference`) w harmonogramie Apache Airflow występuje podatność, która pozwala na importowanie i uruchamianie dowolnych ścieżek klas kontrolowanych przez autora DAG-a. Może to prowadzić do wykonania złośliwego kodu w kontekście sesji SQLAlchemy.

CVE-2026-44825
High

W narzędziu do konfiguracji uwierzytelniania podstawowego (bin/solr auth enable) w Apache Solr w wersjach od 9.4.0 do 9.10.1 oraz 10.0.0 występują twardo zakodowane dane uwierzytelniające, co pozwala zdalnemu atakującemu uzyskać pełny dostęp administracyjny do klastra za pomocą publicznie znanych domyślnych danych uwierzytelniających. Problem ten dotyczy instalacji, które nie zmieniły domyślnych haseł dla użytkowników szablonowych.

CVE-2026-42588
High

Podatność CVE-2026-42588 dotyczy niewłaściwej walidacji wejścia oraz niewłaściwej kontroli generowania kodu w Apache ActiveMQ. Umożliwia to uwierzytelnionemu atakującemu wykonanie dowolnego kodu na JVM brokera poprzez manipulację parametrem brokerConfig.

CVE-2026-42359
High

Błąd w punkcie końcowym PATCH XCom w Apache Airflow (`PATCH /api/v2/xcomEntries/{key}`) pozwalał uwierzytelnionemu użytkownikowi z uprawnieniami do zapisu XCom na Dag na ustawienie wpisów XCom pod zarezerwowanymi nazwami kluczy, co prowadziło do możliwości zdalnego wykonania kodu (RCE). Problem ten dotyczy wdrożeń, w których nieufni użytkownicy mają uprawnienia do zapisu XCom na Dagach, które odwołują się do wywołującego.

CVE-2026-41084
High

Błąd w API masowych instancji zadań Apache Airflow umożliwia użytkownikom z uprawnieniami edycji do modyfikacji stanu instancji zadań w innych DAG-ach, wykorzystując nieprawidłowe sprawdzenie autoryzacji. Problem występuje, gdy `dag_id` jest pobierane z URL, a `dag_id` i `dag_run_id` z ciała żądania.

CVE-2026-40961
High

Błąd w trasie przekierowania logowania w Apache Airflow pozwalał uwierzytelnionym użytkownikom na tworzenie adresów URL, które omijały kontrolę `is_safe_url`. To umożliwiało przekierowanie z zaufanej domeny Airflow do źródła kontrolowanego przez atakującego.

CVE-2026-40546
High

SOPlanning jest podatny na atak typu SQL Injection w wielu punktach końcowych i parametrach. Napastnik z niskimi uprawnieniami może wstrzykiwać dowolne polecenia SQL, co może prowadzić do pełnej kontroli nad bazą danych.

CVE-2026-40543
High

SOPlanning nie wymusza autoryzacji dla funkcji tworzenia kopii zapasowych. Nieautoryzowany atakujący może bezpośrednio zapytać o punkty końcowe związane z kopiami zapasowymi i uzyskać archiwa kopii zapasowych zawierające bazy danych użytkowników z nazwami użytkowników i haszami haseł, a także plik config.csv, który zawiera dodatkowe wrażliwe informacje.

CVE-2026-32325
High

Występuje problem z łańcuchowaniem uprawnień w ServerView Agents dla systemu Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.

CVE-2026-27788
High

Występuje nieprawidłowe przypisanie uprawnień do krytycznego zasobu w ServerView Agents dla Windows w wersji V11.60.04 i wcześniejszych. W przypadku wykorzystania tej podatności, lokalny uwierzytelniony atakujący, który może zalogować się na serwerze, na którym zainstalowany jest podatny produkt, może uzyskać uprawnienia SYSTEM.

CVE-2026-10243
High

W systemie Smart Parking System 1.0 wykryto podatność bezpieczeństwa w nieznanej funkcji komponentu Admin Endpoint. Manipulacja tą funkcją prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10236
High

W systemie zarządzania rachunkami wodnymi SourceCodester w wersji 1.0 odkryto podatność. Problem dotyczy niewłaściwego przetwarzania pliku /classes/Users.php?f=save w komponencie zarządzania użytkownikami, co prowadzi do nieprawidłowej autoryzacji.

CVE-2026-35563
High

Wersja 2.1.7 implementacji klienta LDAP nie weryfikuje, czy certyfikat serwera odpowiada zamierzonemu hostname'owi LDAP. Brak identyfikacji punktu końcowego pozwala na akceptację ważnego certyfikatu wydanego dla zupełnie innego hosta, co stwarza ryzyko podszywania się pod serwer i całkowitego kompromitowania połączenia.

CVE-2026-10227
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy nieznanej funkcji w pliku add_user_check.php komponentu obsługi tworzenia użytkowników. Manipulacja argumentem 'role' prowadzi do wstrzykiwania SQL.

CVE-2026-10226
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano lukę, która może prowadzić do wstrzykiwania SQL. Problem dotyczy nieznanej funkcji w pliku delete.php, gdzie manipulacja argumentami user_id/course_id/teacher_id/student_id/application_id może umożliwić atak. Wykorzystanie tej luki może być przeprowadzone zdalnie.

CVE-2026-10225
High

W systemie zarządzania studentami raisulislamg4 zidentyfikowano podatność, która dotyczy pliku login_check.php w komponencie Logowanie. Manipulacja argumentem Nazwa użytkownika prowadzi do wstrzyknięcia SQL, co może być zainicjowane zdalnie.

CVE-2026-48209
High

An improper neutralization of user-controllable input in OTRS or ((OTRS)) Community Edition allows authenticated attackers to perform reflected cross-site scripting (XSS) attacks via crafted request parameters associated with ticket actions.

PreviousPage 262 of 3416Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS