CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-45348
High

pyLoad to darmowy menedżer pobierania napisany w Pythonie. W wersjach przed 0.5.0b3.dev100, szablon packages.js interpoluje URL linku w szablonie HTML, co pozwala atakującemu na wstrzyknięcie JavaScript do przeglądarki użytkowników, którzy otwierają widok pobierania.

CVE-2026-45310
High

CodeWhale to agent kodowania DeepSeek + MiMo w terminalu. W wersjach przed 0.8.22 narzędzie fetch_url weryfikuje adres IP początkowego URL-a, ale nie sprawdza ponownie adresu docelowego po przekierowaniach, co może prowadzić do ataków SSRF na usługi wewnętrzne.

CVE-2026-45296
High

OpenReplay is a session replay suite that prior to version 1.26.0 had vulnerabilities in its Python API. There were app_apikey routes that trusted the caller-provided projectKey, allowing attackers to access projects of other tenants.

CVE-2026-44798
High

In Nautobot prior to versions 2.4.33 and 3.1.2, a user with access to add/change a GitRepository record could use the REST API to directly set the current_head field, which was not intended to be user-editable. This could lead to outdated states of local clones of the repositories or prevent the use of the repository altogether.

CVE-2026-44797
High

Nautobot to platforma automatyzacji sieci i źródło prawdy o sieci. W wersjach przed 2.4.33 i 3.1.2, model danych Webhooka mógł być konfigurowany przez użytkowników z odpowiednimi uprawnieniami, co pozwalało na wykonywanie nieautoryzowanych żądań do różnych hostów i adresów IP, co przypomina atak typu server-side request forgery (SSRF).

CVE-2026-34126
High

TP-Link zidentyfikował podatność w urządzeniach Tapo L535E v1.0 i v3.0, Tapo P300 v1.0 oraz Tapo D100C v1.0, gdzie komunikacja Bluetooth podczas początkowej konfiguracji jest przesyłana w postaci niezaszyfrowanej. Atakujący w zasięgu Bluetooth może wykorzystać tę lukę do podsłuchiwania komunikacji oraz manipulacji danymi konfiguracyjnymi.

CVE-2026-9096
High

Wersje Casdoor 2.362.0 i wcześniejsze nie egzekwują ograniczeń czasowych dla asercji SAML. Biblioteka gosaml2 raportuje wyniki walidacji czasowej, jednak funkcja ParseSamlResponse() nie odczytuje tych informacji, co prowadzi do ich cichego zignorowania przed wydaniem sesji użytkownika.

CVE-2026-9095
High

In Casdoor versions 2.362.0 and earlier, SAML assertions are mapped to user sessions without replay protection. The ParseSamlResponse() function does not implement replay detection mechanisms, allowing attackers to reuse captured SAML assertions.

CVE-2026-8697
High

W wyniku niewłaściwego egzekwowania limitu prób uwierzytelniania w debugowym serwisie SSH w Archer C64 v1, serwis SSH pozwala na nieograniczone próby uwierzytelnienia, używając tych samych danych logowania co interfejs webowy. To umożliwia atakującemu przeprowadzenie ataku brute-force na ważne dane logowania przez SSH.

CVE-2026-44543
High

Local Path Provisioner in Kubernetes allows users to utilize local storage on each node. In versions prior to 0.0.36, a malicious user with permission to edit the local-path-config ConfigMap can manipulate the helperPod.yaml template, leading to the creation of privileged pods.

CVE-2026-44466
High

Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed można obejść za pomocą rozszerzenia arytmetycznego bash $((...)), co pozwala na wykonanie dowolnych poleceń zagnieżdżonych w dozwolonym poleceniu, takim jak echo. Ta podatność została naprawiona w wersji 0.229.0.

CVE-2026-44465
High

Zed to edytor kodu, który przed wersją 0.227.1 wykonuje dowolne polecenia podczas otwierania folderu z złośliwym plikiem .git/config, wykorzystującym opcję konfiguracyjną core.fsmonitor Git. Umożliwia to atakującemu zdalne wykonanie kodu (RCE) w momencie, gdy ofiara otworzy folder w trybie niezaufanym.

CVE-2026-44463
High

Zed to edytor kodu, w wersjach przed 0.229.0 system uprawnień narzędzia terminala Zed mógł być obejściem poprzez dodanie przypisań zmiennych środowiskowych do dozwolonych poleceń, co pozwalało na przejęcie zachowania programów (np. PAGER) i wykonanie dowolnego kodu. Ta podatność została naprawiona w wersji 0.229.0.

CVE-2026-44461
High

Zed to edytor kodu, który przed wersją 0.227.1 budował zdalne polecenia SSH/WSL jako ciąg polecenia powłoki, zaczynający się od exec env .... Klucze zmiennych środowiskowych są wstawiane bez cytowania lub walidacji, co pozwala na wykonanie dowolnych poleceń na zdalnym hoście.

CVE-2026-48526
High

In PyJWT library before version 2.13.0, there is no validation of using JSON Web Keys (JWK) in the HMAC algorithm. An attacker can use the issuer's public key as the HMAC secret key, allowing forgery of JWT tokens.

CVE-2026-47762
High

TinyMCE is an open source rich text editor that prior to versions 5.11.1, 7.9.3, and 8.5.1 had a stored XSS vulnerability via forged mce:protected comments. This allows attackers to bypass sanitization and inject scripts that execute when content is restored.

CVE-2026-47761
High

TinyMCE is an open source rich text editor that prior to versions 5.11.1, 7.9.3, and 8.5.1 had a stored XSS vulnerability in the media plugin. Attackers could inject malicious scripts via crafted data-mce-* attributes, which were executed when content was rendered.

CVE-2026-47760
High

TinyMCE is an open source rich text editor that from versions 6.8.0 to before 7.1.0 contains an XSS vulnerability due to improper SVG namespace scope handling in the sanitizer. A crafted payload using nested elements can bypass attribute sanitization and execute arbitrary JavaScript.

CVE-2026-47759
High

TinyMCE is an open source rich text editor that prior to versions 5.11.1, 7.9.3, and 8.5.1 had a stored XSS vulnerability via unsanitized data-mce-* attributes. This allows attackers to inject malicious values that can override safe attributes during serialization.

CVE-2026-45017
High

Python Liquid to silnik Pythona dla języka szablonów Liquid. W wersjach przed 2.2.0, wbudowane FileSystemLoader i CachingFileSystemLoader nie chroniły przed odczytem plików spoza swoich ścieżek wyszukiwania, gdy podano absolutną ścieżkę do rozwiązania, co umożliwiało złośliwym autorom szablonów ładowanie i renderowanie dowolnych plików.

PreviousPage 291 of 3428Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS