CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
WWBN AVideo to otwartoźródłowa platforma wideo, w wersji 29.0 i wcześniejszych występuje podatność na klasyczną iniekcję metacharakterów powłoki. Wtyczka YPTSocket w pliku plugin/Live/on_publish.php buduje linię poleceń execAsync() poprzez konkatenację łańcuchów, nie stosując escapeshellarg().
Serwer MCP Roslyn CodeLens, działający w wersjach od 0.0.9 do 1.17.0, ładował i wykonywał wszystkie zreferowane przez rozwiązanie assembly DiagnosticAnalyzer bez żadnej listy dozwolonych elementów, co umożliwiało atakującemu wykonanie dowolnego kodu. Wersja 1.17.0 naprawia tę podatność.
Aplikacje towarzyszące Home Assistant dla systemów iOS i Android przed wersjami 2026.4.1 i 2026.4.4 mają lukę, która umożliwia zewnętrznym ramkom wykonanie dowolnego kodu JavaScript w głównym kontekście aplikacji. Wykorzystanie tej luki pozwala na wykradzenie tokena dostępu zalogowanego użytkownika.
Moduł Dashboard w FreePBX przed wersjami 16.0.22 i 17.0.5 zawiera podatność, która pozwala na wstrzykiwanie plików PHP na podstawie danych dostarczonych przez użytkownika, bez odpowiedniej sanitizacji ścieżek. Parametr $_REQUEST['rawname'] jest używany w wywołaniu include() z sufiksem .class.php, co umożliwia atakującemu przeprowadzenie ataku typu path traversal.
FreePBX to otwarte oprogramowanie IP PBX. W wersjach przed 16.0.50 i 17.0.11, strona modułu raportów CDR umożliwia wstrzyknięcie SQL poprzez parametry POST 'order' i 'sort'. Wymagana jest autoryzacja za pomocą konta w panelu administracyjnym FreePBX z dostępem do sekcji CDR.
FreePBX to otwartoźródłowy system IP PBX. W wersjach przed 17.0.8 implementacja OAuth2 w module API FreePBX nie weryfikuje wystarczająco danych uwierzytelniających klienta podczas wydawania tokenów, co pozwala na uzyskanie dostępu do tokenów OAuth2 bez podawania poprawnego client_secret.
DreamMaker opracowany przez Interinfo ma podatność na nieautoryzowane odczyty plików, umożliwiając lokalnym atakującym wykorzystanie ataku typu Relative Path Traversal do pobierania dowolnych plików systemowych.
DreamMaker opracowany przez Interinfo ma podatność na arbitralne przesyłanie plików, co pozwala zdalnym atakującym z uprawnieniami na przesyłanie i uruchamianie backdoorów w postaci powłok webowych, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.
HAX CMS, który zarządza mikrositami z backendami PHP lub NodeJs, ma podatność na przechowywane ataki XSS w wersjach do 26.0.0 w punkcie końcowym `/system/api/saveNode`. Użytkownik z uprawnieniami do edytowania stron może obejść sanitizację HTML, wstrzykując atrybut obsługi zdarzeń bez białych znaków przed nazwą atrybutu.
W komponentach projektów Mautic 7 występuje podatność typu Cross-Site Scripting (XSS), która jest przechowywana. Nazwy projektów dostarczane przez użytkowników są wyświetlane bez odpowiedniej sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez uwierzytelnionych użytkowników z odpowiednimi uprawnieniami.
W Mautic 7 API v2 występuje luka w autoryzacji, która pozwala na ominięcie ograniczeń związanych z zakresem właściciela. W określonych warunkach, role z ograniczeniami takimi jak `viewown` lub `editown` nie są prawidłowo egzekwowane, co umożliwia użytkownikom API o niskich uprawnieniach dostęp do zasobów innych użytkowników.
W wersji 7.9.1.0 R2502171040 urządzenia Waterfall WF-500 RX Host zidentyfikowano podatność CWE-78, która umożliwia atakującym z dostępem do TX Host wykonanie kodu na RX Host poprzez wstrzyknięcie poleceń systemowych, gdy skonfigurowany jest konektor MySQL.
W wersji 7.9.1.0 R2502171040 urządzenia Waterfall WF-500 RX Host zidentyfikowano podatność CWE-23: Relative Path Traversal (Zip Slip). Umożliwia ona atakującym z dostępem do TX Host wykonanie kodu na RX Host, gdy skonfigurowany jest konektor MySQL i włączona jest kompresja plików.
W wersji 7.9.1.0 R2502171040 interfejsu administracyjnego WebUI urządzenia Waterfall WF-500 RX zidentyfikowano podatność typu CWE-78, która pozwala zdalnym, uwierzytelnionym atakującym na wykonywanie dowolnych poleceń systemu operacyjnego na hoście WF-500 RX.
W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-125: Odczyt poza granicami w urządzeniu Waterfall WF-500 RX Host w wersji 7.10.0.0 R2601141040, która umożliwia atakującym z dostępem do TX Host wykonanie kodu na RX Host.
W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-23: Przechodzenie przez względne ścieżki w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040, która pozwala zdalnym, nieautoryzowanym atakującym na odczyt dowolnych plików z urządzenia.
W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('Wstrzyknięcie polecenia OS') w interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX Host w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na WF-500 TX Host.
W interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność typu CWE-78, która pozwala na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na hoście WF-500 TX.
W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('OS Command Injection') w interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na hoście WF-500 TX.
A flaw in the OpenShift Router allows an unauthenticated attacker to send plain HTTP requests with crafted `X-SSL-Client-*` headers when a Route has `insecureEdgeTerminationPolicy` set to Allow. This bypasses mutual TLS authentication in backends that rely on these headers, enabling impersonation of client certificate identities.

