CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-33102
Critical

W M365 Copilot występuje podatność na przekierowanie URL do nieufnej strony ('open redirect'), co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-32210
Critical

A server-side request forgery (SSRF) vulnerability in Microsoft Dynamics 365 (Online) allows an unauthorized attacker to perform spoofing over a network.

CVE-2026-26210
Critical

KTransformers versions up to 0.5.3 contain an unsafe deserialization vulnerability in the balance_serve backend mode. The scheduler RPC server binds a ZMQ ROUTER socket to all interfaces without authentication and deserializes incoming messages using pickle.loads() without validation.

CVE-2026-24303
Critical

Nieprawidłowa kontrola dostępu w Microsoft Partner Center umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-6942
Critical

Wersja 1.6.0 i wcześniejsze radare2-mcp zawierają podatność na wstrzykiwanie poleceń systemowych, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez obejście filtra poleceń za pomocą metaznaków powłoki w danych wejściowych kontrolowanych przez użytkownika przekazywanych do r2_cmd_str().

CVE-2026-41276
Critical

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0, ta podatność pozwala zdalnym atakującym na ominięcie uwierzytelnienia w dotkniętych instalacjach FlowiseAI Flowise, co umożliwia resetowanie haseł bez wymaganego uwierzytelnienia.

CVE-2026-41268
Critical

Flowise, interfejs użytkownika do budowy dostosowanych modeli językowych, przed wersją 3.1.0 ma krytyczną podatność na zdalne wykonanie poleceń (RCE) bez uwierzytelnienia. Można ją wykorzystać poprzez obejście nadpisania parametrów z użyciem słowa kluczowego FILE-STORAGE:: oraz wstrzyknięcia zmiennej środowiskowej NODE_OPTIONS.

CVE-2026-41265
Critical

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy Airtable_Agents, który wynikał z braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

CVE-2026-41264
Critical

Flowise to interfejs typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0 występował błąd w metodzie run klasy CSV_Agents, polegający na braku odpowiedniego piaskownicy przy ocenie skryptu Pythona generowanego przez LLM.

CVE-2026-25874
Critical

LeRobot w wersji do 0.5.1 zawiera podatność na niebezpieczną deserializację w asynchronicznym potoku wnioskowania, gdzie używana jest funkcja pickle.loads() do deserializacji danych otrzymywanych przez nieautoryzowane kanały gRPC bez TLS. Atakujący zdalny, nieautoryzowany może uzyskać możliwość wykonania dowolnego kodu na serwerze lub kliencie, wysyłając spreparowany ładunek pickle przez wywołania gRPC.

CVE-2026-6074
Critical

Intrado 911 Emergency Gateway (EGW) w wersjach 5.x, 6.x i 7.x zawiera podatność na traversję ścieżki w punkcie końcowym download_debuglog_file.php, używanym do pobierania logów debugowania. Nieautoryzowany atakujący może manipulować parametrem nazwy, aby odczytać dowolne pliki poza zamierzonym katalogiem.

CVE-2026-41247
Critical

elFinder to otwartoźródłowy menedżer plików dla sieci, napisany w JavaScript z użyciem jQuery UI. W wersjach przed 2.1.67 występuje podatność na wstrzykiwanie poleceń w komendzie resize, gdzie parametr bg (kolor tła) jest akceptowany z wejścia użytkownika i przekazywany do przetwarzania obrazu bez odpowiedniego zabezpieczenia.

CVE-2026-6920
Critical

An out of bounds read in GPU in Google Chrome on Android prior to version 147.0.7727.117 allowed a remote attacker who compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.

CVE-2026-6919
Critical

A use after free vulnerability in DevTools in Google Chrome prior to version 147.0.7727.117 allowed a remote attacker who compromised the renderer process to potentially perform a sandbox escape via a crafted HTML page.

CVE-2026-31181
Critical

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunServerAddr w /cgi-bin/cstecgi.cgi.

CVE-2026-31178
Critical

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMaxAlive w pliku /cgi-bin/cstecgi.cgi.

CVE-2026-31177
Critical

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunMinAlive w pliku /cgi-bin/cstecgi.cgi.

CVE-2026-31175
Critical

W oprogramowaniu układowym ToToLink A3300R w wersji v17.0.0cu.557_B20221024 odkryto problem, który pozwala atakującym na wykonywanie dowolnych poleceń za pomocą parametru stunEnable w /cgi-bin/cstecgi.cgi.

CVE-2026-40472
Critical

W hackage-server, metadane kontrolowane przez użytkownika z plików .cabal są renderowane w atrybutach href HTML bez odpowiedniej sanitizacji, co umożliwia ataki typu Cross-Site Scripting (XSS) typu stored.

CVE-2026-40471
Critical

Serwer hackage nie posiadał ochrony przed atakami Cross-Site Request Forgery (CSRF) na swoich punktach końcowych. Skrypty na obcych stronach mogły wywoływać żądania do serwera hackage, co mogło prowadzić do nadużycia ukrytych poświadczeń w celu przesyłania pakietów lub wykonywania innych działań administracyjnych.

PreviousPage 98 of 559Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS