CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Kados R10 GreenBee zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr release_id w pliku boards_buttons/update_release.php. Wartość release_id jest bezpośrednio łączona z instrukcjami SQL bez sanitizacji.
Oprogramowanie MaxOn ERP w wersjach 8.x-9.x zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez parametry nomor, user i jenis w funkcji log_activity. Atakujący mogą wysyłać żądania POST do /index.php/user/log_activity z złośliwym kodem SQL w tych parametrach.
HaPe PKH w wersji 1.1 nie wymusza autoryzacji na punktach końcowych usuwania rekordów, co pozwala nieautoryzowanym atakującym na usunięcie dowolnych rekordów poprzez wysłanie spreparowanego żądania z identyfikatorem docelowego rekordu. Punkty końcowe admin/modul/mod_pengurus/aksi_pengurus.php oraz admin/modul/mod_update/aksi_update.php przetwarzają usunięcia bez weryfikacji uprawnień żądającego.
HaPe PKH w wersji 1.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru POST 'desa' wysyłanego do lap-peserta-perdesa-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.
HaPe PKH w wersji 1.1 zawiera podatność typu SQL injection, która pozwala nieautoryzowanym atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru 'nama_kelompok' w żądaniu POST wysyłanym do lap-anggota-kelompok-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.
HaPe PKH w wersji 1.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez obejście walidacji typu pliku. Atakujący mogą przesyłać pliki PHP przez różne punkty końcowe, w tym aksi_foto.php, aksi_user.php i aksi_kecamatan.php, co umożliwia wykonanie dowolnego kodu na serwerze.
HaPe PKH w wersji 1.1 zawiera wiele podatności typu SQL injection w pliku admin/media.php, które pozwalają atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr 'id'. Atakujący nieautoryzowany może wykorzystać moduł desa, podczas gdy użytkownicy autoryzowani mogą wykorzystać moduły pengurus, fasilitas i kelompok.
E-Registrasi Pencak Silat w wersji 18.10 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze id_partai. Atakujący mogą wysyłać żądania GET do monitor_nilai.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze id_partai, aby wydobyć wrażliwe informacje z bazy danych, w tym dane logowania administratora oraz dane użytkowników.
Free MP3 CD Ripper w wersji 2.8 zawiera podatność na przepełnienie bufora na stosie podczas przetwarzania plików WMA. Umożliwia to lokalnym atakującym ominięcie ochrony DEP poprzez manipulację obsługą wyjątków.
Zechat w wersji 1.5 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wydobycie informacji z bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru uname. Atakujący mogą wysyłać spreparowane żądania do profile.php z ładunkami SQL opartymi na UNION, aby uzyskać nazwy tabel, nazwy kolumn oraz wrażliwe dane z bazy danych information_schema.
Framework mcp-security, który wspiera bezpieczeństwo i autoryzację dla Model Context Protocol w Spring AI, przed wersją 0.1.9 nie implementował obowiązkowych zabezpieczeń przed SSRF zgodnie z specyfikacjami bezpieczeństwa MCP. Problem dotyczy przetwarzania niezweryfikowanych adresów URL związanych z OAuth, co może prowadzić do ataków.
Falco Solutions PHPPageBuilder w wersji 0.31.0 zawiera podatność na nieograniczone przesyłanie plików w module pagemanager/pagebuilder, co pozwala zdalnym atakującym na przesyłanie dowolnych plików i uzyskanie zdalnego wykonania kodu. Problem wynika z niewystarczającej walidacji typów przesyłanych plików oraz zawartości wykonywalnej.
Zidentyfikowano podatność w TRENDnet TEW-432BRP 3.10B20, która dotyczy funkcji formWPS w pliku /goform/formWPS. Manipulacja argumentem peerPin prowadzi do przepełnienia bufora na stosie, co może być wykorzystane zdalnie.
W TRENDnet TEW-432BRP w wersji 3.10B20 zidentyfikowano podatność w funkcji formSetRoute pliku /goform/formSetRoute, która prowadzi do przepełnienia bufora na stosie. Atak można przeprowadzić zdalnie, a wykorzystanie tej podatności zostało publicznie ujawnione.
Podatność w bibliotece form-data-objectizer przed wersją 1.0.1 pozwala na zanieczyszczenie prototypu obiektu w Node.js poprzez nieodfiltrowanie kluczy formy zaczynających się od __proto__. Może to prowadzić do niezamierzonych modyfikacji Object.prototype.
n8n-MCP to serwer MCP, który umożliwia asystentom AI dostęp do dokumentacji, właściwości i operacji węzłów n8n. W wersjach przed 2.51.2, gdy ENABLE_MULTI_TENANT=true, brak nagłówków x-n8n-url / x-n8n-key powodował, że żądania korzystały z poświadczeń N8N_API_URL / N8N_API_KEY operatora, co mogło prowadzić do nieautoryzowanego dostępu do instancji n8n operatora przez uwierzytelnionego najemcę MCP.
W wersjach 1.4 i wcześniejszych w kompilatorze ASN.1 asn1c zidentyfikowano podatność na bezpieczeństwo pamięci w plikach szkieletowych dekodowania OER. Podczas analizy złośliwie skonstruowanego, zerowej długości ładunku OER dla typu INTEGER o zmiennej długości, dekoder nie weryfikuje wymaganych bajtów przed wydobyciem najbardziej znaczącego bitu (MSB), co prowadzi do odczytu poza granicami pamięci.
WWBN AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych występuje podatność na klasyczną iniekcję metacharakterów powłoki. Wtyczka YPTSocket w pliku plugin/Live/on_publish.php buduje linię poleceń execAsync() poprzez konkatenację łańcuchów, nie stosując escapeshellarg().
Serwer MCP Roslyn CodeLens, działający w wersjach od 0.0.9 do 1.17.0, ładował i wykonywał wszystkie zreferowane przez rozwiązanie assembly DiagnosticAnalyzer bez żadnej listy dozwolonych elementów, co umożliwiało atakującemu wykonanie dowolnego kodu. Wersja 1.17.0 naprawia tę podatność.
Aplikacje towarzyszące Home Assistant dla systemów iOS i Android przed wersjami 2026.4.1 i 2026.4.4 mają lukę, która umożliwia zewnętrznym ramkom wykonanie dowolnego kodu JavaScript w głównym kontekście aplikacji. Wykorzystanie tej luki pozwala na wykradzenie tokena dostępu zalogowanego użytkownika.

