CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.07)
Krytyczna podatność XSS dotyczyła hackage-server oraz hackage.haskell.org. Pliki HTML i JavaScript dostarczane w pakietach źródłowych lub za pośrednictwem funkcji przesyłania dokumentacji były serwowane bezpośrednio na głównym domenie hackage.haskell.org.
Kofax Capture (Tungsten Capture) w wersji 6.0.0.0 (inne wersje mogą być podatne) udostępnia przestarzały kanał .NET Remoting HTTP na porcie 2424, który jest dostępny bez uwierzytelnienia. Atakujący może wykorzystać techniki unmarshalling obiektów .NET Remoting do instancjonowania obiektu System.Net.WebClient i uzyskania dostępu do plików na serwerze.
Pipecat to otwartoźródłowy framework Pythona do budowania agentów konwersacyjnych w czasie rzeczywistym. W wersjach od 0.0.41 do 0.0.93 występuje podatność w klasie `LivekitFrameSerializer`, która umożliwia zdalne wykonanie kodu przez nieautoryzowane dane WebSocket.
Jizhicms w wersji 2.5.4 jest podatny na atak typu SQL injection w module edycji produktów. Atakujący może wykorzystać tę podatność do nieautoryzowanego dostępu do bazy danych.
Wersje SocialEngine 7.8.0 i wcześniejsze zawierają podatność na wstrzykiwanie SQL w punkcie końcowym /activity/index/get-memberall, gdzie dane wejściowe dostarczone przez użytkownika przez parametr text nie są odpowiednio filtrowane przed użyciem w zapytaniu SQL. Atakujący zdalny, nieautoryzowany może wykorzystać tę podatność do odczytu dowolnych danych z bazy danych oraz resetowania haseł kont administratorów.
Podatność typu 'Code Injection' w FunnelFormsPro firmy Funnelforms LLC pozwala na zdalne wstrzykiwanie kodu. Problem dotyczy wersji FunnelFormsPro od n/a do 3.8.1.
Borg SPM 2007, developed by BorG Technology Corporation, has a SQL Injection vulnerability that allows unauthenticated remote attackers to inject arbitrary SQL commands to read, modify, and delete database contents.
Borg SPM 2007, developed by BorG Technology Corporation, has an authentication bypass vulnerability that allows unauthenticated remote attackers to log into the system as any user.
Borg SPM 2007, developed by BorG Technology Corporation, has an arbitrary file upload vulnerability, allowing unauthenticated remote attackers to upload and execute malicious scripts on the server.
A critical remote code execution vulnerability exists in the unauthenticated REST API endpoint /99/ImportSQLTable in H2O-3 version 3.46.0.9 and prior. The vulnerability arises due to insufficient security controls in the parameter blacklist mechanism, allowing attackers to bypass these controls.
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, funkcja `PhpHelper::parseArrayToString()` zapisuje wartości tekstowe w pojedynczych cudzysłowach PHP bez odpowiedniego zabezpieczenia przed wstrzyknięciem. To umożliwia atakującemu wstrzyknięcie dowolnego kodu PHP, który będzie wykonywany jako użytkownik serwera WWW.
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.6, punkt końcowy API `Customers.update` (oraz `Admins.update`) nie weryfikuje parametru `def_language` względem dostępnych plików językowych, co pozwala uwierzytelnionemu użytkownikowi na wstrzyknięcie ładunku do przejścia ścieżki.
Wtyczka Breeze Cache dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'fetch_gravatar_from_remote' we wszystkich wersjach do 2.4.4 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
Paperclip to serwer Node.js i interfejs React, który koordynuje zespół agentów AI do prowadzenia działalności. Przed wersją 2026.416.0, nieautoryzowany atakujący mógł uzyskać pełne zdalne wykonanie kodu na każdej instancji Paperclip działającej w trybie `authenticated` z domyślną konfiguracją.
Vite+ to zintegrowany zestaw narzędzi do tworzenia aplikacji webowych. W wersjach przed 0.1.17 funkcja `downloadPackageManager()` akceptuje nieufny ciąg `version`, co pozwala na manipulację ścieżkami w systemie plików, umożliwiając atakującemu usunięcie lub zastąpienie katalogów poza zamierzonym miejscem w pamięci podręcznej.
Luanti (formerly Minetest) has a vulnerability that allows malicious mods to escape the sandboxed Lua environment and execute arbitrary code, gaining full filesystem access on the user's device. This affects both server-side mods and client-side environments.
In Rclone from version 1.48.0 to 1.73.4, the RC endpoint `operations/fsinfo` is exposed without `AuthRequired: true` and accepts attacker-controlled `fs` input. This allows an unauthenticated attacker to achieve remote command execution by leveraging the WebDAV backend with the `bearer_token_command` parameter.
In Rclone, the RC endpoint `options/set` is exposed without `AuthRequired: true`, allowing mutation of global runtime configuration. An unauthenticated attacker can set `rc.NoAuth=true`, disabling authorization for many RC methods that require authentication, leading to unauthorized access to sensitive administrative functionality.
In Rocket.Chat versions below 8.3.0, 8.2.1, 8.1.2, 8.0.3, 7.13.5, 7.12.6, 7.11.6, and 7.10.9, a NoSQL injection vulnerability can lead to account takeover of the first user with a generated token when an OAuth app is configured.
Jellystat to darmowa aplikacja statystyczna dla Jellyfin, która przed wersją 1.1.10 miała wiele punktów końcowych API, które budowały zapytania SQL, interpolując niesanitizowane pola z ciała żądania bezpośrednio do surowych ciągów SQL. Użytkownik z autoryzacją mógł wstrzyknąć dowolne zapytanie SQL, co umożliwiało pełny odczyt dowolnej tabeli w bazie danych.

