CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
Zidentyfikowano podatność w NousResearch hermes-agent do wersji 0.12.0, dotycząca funkcji _compress_context w pliku run_agent.py. Manipulacja tą funkcją prowadzi do możliwości wstrzyknięcia kodu, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w NousResearch hermes-agent do wersji 2026.4.30, dotycząca funkcji _serve_plugin_skill/skill_view w pliku tools/skills_tool.py. Wykonanie manipulacji może prowadzić do wstrzyknięcia kodu, a atak może być przeprowadzony zdalnie.
Wykryto podatność w Nextlevelbuilder GoClaw w wersjach do 3.11.3, która dotyczy funkcji FsBridge.WriteFile w pliku internal/sandbox/fsbridge.go. Manipulacja tą funkcją może prowadzić do zdalnego wstrzyknięcia poleceń systemowych.
Zidentyfikowano słabość w zhayujie chatgpt-on-wechat do wersji 2.0.8, która dotyczy funkcji _get_safety_warning w pliku agent/tools/bash/bash.py komponentu Bash Tool. Wykonanie manipulacji może prowadzić do wstrzyknięcia poleceń systemowych, co umożliwia zdalny atak.
W systemie zarządzania szpitalem Online Hospital Management System 1.php znaleziono lukę, która wpływa na funkcję login_user w pliku login_1.php. Manipulacja argumentem Username może prowadzić do wstrzyknięcia SQL.
Wykryto podatność w urządzeniu D-Link DI-8400 do wersji 16.07.26A1, która dotyczy nieznanej funkcji pliku /dbsrv.asp. Manipulacja argumentem str prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne wykorzystanie tej podatności.
Wersje Sereal::Decoder przed 5.005 dla Perla pozwalają na odczyt poza granicami pamięci sterty poprzez spreparowane dane wejściowe. Funkcje srl_read_object() i srl_read_hash() przetwarzają tag COPY, co może prowadzić do niekontrolowanego odczytu danych.
Zidentyfikowano podatność w Tenda W12 w wersji 3.0.0.7(4763), która dotyczy funkcji set_local_time_0 w pliku /bin/httpd. Manipulacja argumentem Time prowadzi do przepełnienia bufora na stosie.
W podatności CVE-2026-10191 zidentyfikowano problem w urządzeniu Tenda W12 w wersji 3.0.0.7(4763). W funkcji cgiWifiMacFilterSet w pliku /bin/httpd występuje przepełnienie bufora na stosie spowodowane manipulacją argumentu wifiMacFilterSet.macList.mac.
Wykryto podatność w urządzeniu Tenda W12 w wersji 3.0.0.7(4763), która dotyczy funkcji cgiSysTimeInfoSet w pliku /bin/httpd. Manipulacja argumentem sec prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne przeprowadzenie ataku.
W urządzeniu Tenda W12 w wersji 3.0.0.7(4763) znaleziono lukę, która dotyczy funkcji cgistaKickOff w pliku /bin/httpd. Manipulacja argumentem staMac może prowadzić do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.
W systemie zarządzania szpitalem Online Hospital Management System w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcjonalności pliku /patient.php. Manipulacja argumentem editid prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez atakującego zdalnie.
Zidentyfikowano słabość w systemie zarządzania rekordami pacjentów SourceCodester Hospitals w wersji 1.0. Wpływa to na nieznaną funkcję pliku /classes/Users.php?f=save, co prowadzi do podatności na atak typu SQL injection.
W systemie zarządzania rekordami pacjentów SourceCodester Hospitals w wersji 1.0 odkryto lukę bezpieczeństwa. Manipulacja argumentem ID w pliku /classes/Users.php?f=delete prowadzi do podatności na atak typu SQL injection, który może być przeprowadzony zdalnie.
Zidentyfikowano podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWlanSetup w pliku /goform/formWlanSetup. Manipulacja argumentem enrollee prowadzi do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.
OpenCATS w wersji od 0.9.1a zawiera podatność na wstrzykiwanie SQL w obsłudze filtrów DataGrid, która pozwala uwierzytelnionym atakującym na wstrzykiwanie SQL poprzez przygotowane filtry skierowane na kolumnę Tags, która nie jest filtrowalna. Atakujący mogą obejść ograniczenia filtrowania kolumn, manipulując żądaniami filtrów w celu wykonania dowolnych zapytań SQL w bazie danych.
OpenCATS w wersjach do 0.9.7.4 zawiera podatność na wstrzykiwanie SQL w parametrze sortDirection komponentu DataGrid, co pozwala uwierzytelnionym użytkownikom na wydobycie zawartości bazy danych. Atakujący mogą wstrzykiwać złośliwe zapytania SQL przez parametr sortDirection w ajax/getDataGridPager.php, co umożliwia przeprowadzanie ataków typu blind injection opartych na czasie.
W TRENDnet TEW-432BRP w wersji 3.10B20 znaleziono podatność, która dotyczy funkcji formSysCmd w pliku /goform/formSysCmd. Manipulacja argumentem submit-url prowadzi do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.
W urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20 znaleziono lukę, która dotyczy funkcji formSetWlanEncrypt. Manipulacja argumentem webpage prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne przeprowadzenie ataku.
Wykryto podatność w systemie Online Music Site w wersji 1.0, która dotyczy nieznanego kodu w pliku /Administrator/PHP/AdminEditAlbum.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co może być przeprowadzone zdalnie.

