CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2025-15480
Critical

W systemie Ubuntu, wersja ubuntu-desktop-provision 24.04.4 może ujawniać wrażliwe dane uwierzytelniające użytkowników podczas raportowania awarii. W przypadku niepowodzenia instalacji, jeśli użytkownik zgłosiłby błąd do Launchpad, ubuntu-desktop-provision mógłby dołączyć hash hasła użytkownika do załączonych logów.

CVE-2026-5445
Critical

W funkcji `DecodeLookupTable` w pliku `DicomImageDecoder.cpp` występuje podatność na odczyt poza zakresem. Logika dekodowania tabeli wyszukiwania dla obrazów w kolorze palety nie weryfikuje indeksów pikseli względem rozmiaru tabeli, co może prowadzić do odczytu pamięci poza przydzieloną tabelą.

CVE-2026-5443
Critical

Istnieje podatność na przepełnienie bufora w stercie podczas dekodowania obrazów DICOM z kolorami palety. Walidacja długości pikseli wykorzystuje 32-bitowe mnożenie do obliczeń szerokości i wysokości, co może prowadzić do błędnych wyników walidacji w przypadku przepełnienia tych wartości.

CVE-2026-5442
Critical

Występuje podatność typu przepełnienie bufora w sterowniku dekodera obrazów DICOM. Pola wymiarów są kodowane przy użyciu reprezentacji wartości (VR) Unsigned Long (UL), zamiast oczekiwanej VR Unsigned Short (US), co pozwala na przetwarzanie ekstremalnie dużych wymiarów.

CVE-2025-50228
Critical

Jizhicms w wersji 2.5.4 jest podatny na atak typu Server-Side Request Forgery (SSRF) w modułach Oceny Użytkownika, Wiadomości i Komentarzy.

CVE-2025-57735
Critical

Podatność dotyczy braku unieważnienia tokena JWT po wylogowaniu użytkownika, co może prowadzić do jego ponownego użycia w przypadku przechwycenia. W wersji Airflow 3.2 wprowadzono mechanizm unieważniania tokenów przy wylogowaniu.

CVE-2026-34184
Critical

System Kontroli Hydrosystem nie wymusza autoryzacji dla niektórych katalogów, co pozwala nieautoryzowanemu atakującemu na odczyt wszystkich plików w tych katalogach oraz ich wykonanie. Krytycznie, atakujący może bezpośrednio uruchamiać skrypty PHP na podłączonej bazie danych.

CVE-2026-34179
Critical

W wersjach Canonical LXD od 4.12 do 6.7 funkcja doCertificateUpdate w pliku lxd/certificates.go nie weryfikuje pola Type podczas obsługi żądań PUT/PATCH do /1.0/certificates/{fingerprint} dla użytkowników z ograniczonymi certyfikatami TLS, co pozwala zdalnemu uwierzytelnionemu atakującemu na eskalację uprawnień do administratora klastra.

CVE-2026-34178
Critical

W Canonical LXD przed wersją 6.8, ścieżka importu kopii zapasowej weryfikuje ograniczenia projektu w pliku backup/index.yaml w dostarczonym archiwum tar, ale tworzy instancję z backup/container/backup.yaml, osobnego pliku w tym samym archiwum, który nie jest sprawdzany pod kątem ograniczeń projektu. Uwierzytelniony zdalny atakujący z uprawnieniami do tworzenia instancji w ograniczonym projekcie może stworzyć archiwum kopii zapasowej, w którym backup.yaml zawiera ograniczone ustawienia, omijając wszystkie egzekucje ograniczeń projektu.

CVE-2026-34177
Critical

Wersje Canonical LXD od 4.12 do 6.7 zawierają niekompletną listę zablokowanych opcji w funkcji isVMLowLevelOptionForbidden, co pomija raw.apparmor i raw.qemu.conf. Zdalny atakujący z uprawnieniami can_edit na instancji VM w ograniczonym projekcie może wstrzyknąć regułę AppArmor oraz konfigurację QEMU, co prowadzi do eskalacji uprawnień do administratora klastra LXD i następnie do roota hosta.

CVE-2026-5854
Critical

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, dotycząca funkcji setWiFiEasyCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem merge prowadzi do wstrzyknięcia poleceń systemowych, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-5853
Critical

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność, która dotyczy funkcji setIpv6LanCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem addrPrefixLen może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5852
Critical

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setIptvCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem igmpVer prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5851
Critical

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa, która dotyczy funkcji setUPnPCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5850
Critical

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setVpnPassCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem pptpPassThru prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-1830
Critical

Wtyczka Quick Playground dla WordPressa jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 1.3.1. Problem wynika z niewystarczających kontroli autoryzacji na punktach końcowych REST API, które ujawniają kod synchronizacji i umożliwiają przesyłanie dowolnych plików.

CVE-2026-5902
Critical

W Google Chrome na Androidzie przed wersją 147.0.7727.55 wystąpił wyścig w Media, który umożliwił zdalnemu atakującemu, który przejął proces renderowania, uszkodzenie metadanych strumienia multimedialnego za pomocą spreparowanej strony HTML.

CVE-2026-5874
Critical

W Google Chrome przed wersją 147.0.7727.55 wystąpiła podatność typu use after free w PrivateAI, która pozwalała zdalnemu atakującemu na przeprowadzenie ucieczki z piaskownicy poprzez specjalnie przygotowaną stronę HTML, jeśli użytkownik wykonałby określone gesty interfejsu użytkownika.

CVE-2026-40035
Critical

Unfurl w wersji 2025.08 zawiera podatność na niewłaściwą walidację wejścia w analizie konfiguracji, która domyślnie włącza tryb debugowania Flask. Wartość konfiguracji debugowania jest odczytywana jako ciąg znaków i przekazywana bezpośrednio do app.run(), co pozwala na ocenę każdej niepustej wartości jako prawdziwej.

CVE-2026-39892
Critical

A vulnerability in the cryptography library for Python (versions 45.0.0 to 46.0.6) allows buffer overflow when processing non-contiguous buffers passed to APIs that accept Python buffers, such as Hash.update(). The issue is fixed in version 46.0.7.

PreviousPage 109 of 548Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS