CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-20889
Critical

A heap-based buffer overflow vulnerability exists in the x3f_thumb_loader function of LibRaw (commit d20315b). A specially crafted malicious file can lead to a heap buffer overflow.

CVE-2025-62818
Critical

W procesorach mobilnych Samsung, procesorach noszalnych oraz modemach Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000, Modem 5123, Modem 5300 i Modem 5400 odkryto problem związany z zapisem poza granicami. Problem ten występuje z powodu niezgodności między wartościami TP-UDHI a UDL podczas przetwarzania pakietu SMS TP-UD.

CVE-2025-52909
Critical

W sterowniku Wi-Fi w procesorach mobilnych i noszalnych Samsung Exynos 980, 850, 1280, 1330, 1380, 1480, 1580, W920, W930 i W1000 odkryto problem. Nieprawidłowe przetwarzanie polecenia NL80211 prowadzi do przepełnienia bufora za pomocą określonej wiadomości ioctl.

CVE-2026-5735
Critical

Memory safety bugs were found in Firefox 149.0.1 and Thunderbird 149.0.1. Some of these bugs showed evidence of memory corruption, which could potentially be exploited to execute arbitrary code. The vulnerability was fixed in versions 149.0.2.

CVE-2026-5734
Critical

Memory safety bugs were present in Firefox ESR 140.9.0, Thunderbird ESR 140.9.0, Firefox 149.0.1, and Thunderbird 149.0.1. Some of these bugs showed evidence of memory corruption and could potentially be exploited to run arbitrary code.

CVE-2026-5731
Critical

Memory safety bugs were found in Firefox ESR 115.34.0, Firefox ESR 140.9.0, Thunderbird ESR 140.9.0, Firefox 149.0.1, and Thunderbird 149.0.1. Some of these bugs showed evidence of memory corruption and could potentially be exploited to run arbitrary code. The vulnerability was fixed in Firefox 149.0.2, Firefox ESR 115.34.1, Firefox ESR 140.9.1, Thunderbird 149.0.2, and Thunderbird 140.9.1.

CVE-2026-28808
Critical

An incorrect authorization vulnerability in Erlang OTP (inets modules) allows unauthenticated access to CGI scripts protected by directory rules when served via script_alias. The path mismatch between mod_auth and mod_cgi evaluation enables bypassing access controls.

CVE-2026-22679
Critical

Weaver (Fanwei) E-cology versions prior to 20260312 contain an unauthenticated remote code execution vulnerability in the /papi/esearch/data/devops/dubboApi/debug/method endpoint, allowing attackers to execute arbitrary commands.

CVE-2021-4473
Critical

System Zarządzania Zachowaniem w Internecie Tianxin zawiera podatność na wstrzykiwanie poleceń w punkcie końcowym komponentu Reporter, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych poleceń poprzez dostarczenie spreparowanego parametru objClass zawierającego metaznaki powłoki oraz przekierowanie wyjścia. Atakujący mogą wykorzystać tę podatność do zapisywania złośliwych plików PHP w katalogu głównym serwera WWW i osiągnięcia zdalnego wykonania kodu z uprawnieniami procesu serwera WWW.

CVE-2026-1114
Critical

W wersji 2.1.0 aplikacji parisneo/lollms zarządzanie sesjami jest podatne na niewłaściwą kontrolę dostępu z powodu użycia słabego klucza tajnego do podpisywania tokenów JWT. Atakujący może przeprowadzić atak brute-force offline, aby odzyskać klucz tajny i sfałszować tokeny administracyjne.

CVE-2026-0740
Critical

Wtyczka Ninja Forms - File Uploads dla WordPressa jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji 'NF_FU_AJAX_Controllers_Uploads::handle_upload' we wszystkich wersjach do i włącznie z 3.3.26. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej strony.

CVE-2026-35471
Critical

Podatność w goshs, prostym serwerze HTTP napisanym w Go, polega na braku zwracania wartości w funkcji tdeleteFile() po sprawdzeniu przejścia ścieżki. Problem ten został naprawiony w wersji 2.0.0-beta.3.

CVE-2026-35393
Critical

goshs to prosty serwer HTTP napisany w Go. Przed wersją 2.0.0-beta.3, katalog do przesyłania plików metodą POST multipart nie był odpowiednio sanitizowany. Ta podatność została naprawiona w wersji 2.0.0-beta.3.

CVE-2026-35392
Critical

Podatność w goshs, prostym serwerze HTTP napisanym w Go, polega na braku sanitizacji ścieżek w operacji przesyłania plików metodą PUT przed wersją 2.0.0-beta.3. Problem ten został naprawiony w wersji 2.0.0-beta.3.

CVE-2026-35459
Critical

pyLoad to darmowy menedżer pobierania napisany w Pythonie, który w wersji 0.5.0b3.dev96 i wcześniejszych ma podatność typu server-side request forgery (SSRF). Mimo wprowadzenia walidacji IP w metodzie BaseDownloader.download(), mechanizm automatycznego śledzenia przekierowań nie weryfikuje celów przekierowań względem filtra SSRF.

CVE-2026-35184
Critical

EcclesiaCRM to oprogramowanie CRM do zarządzania kościołem. Przed wersją 8.0.0 występowała podatność na wstrzyknięcie SQL w pliku v2/templates/query/queryview.php poprzez parametry custom i value. Ta podatność została naprawiona w wersji 8.0.0.

CVE-2026-35178
Critical

Workbench to zestaw narzędzi dla administratorów i deweloperów do interakcji z organizacjami Salesforce.com za pomocą API Force.com. Przed wersją 65.0.0, Workbench zawierał podatność na zdalne wykonanie kodu w procesie konwersji strefy czasowej, który przetwarzał wartości ciasteczek kontrolowane przez atakującego w niebezpieczny sposób.

CVE-2025-54328
Critical

W procesorach mobilnych Samsung, procesorach noszonych oraz modemach Exynos 980, 990, 850, 1080, 2100, 1280, 2200, 1330, 1380, 1480, 2400, 1580, 2500, 9110, W920, W930, W1000 oraz modemach 5123, 5300 i 5400 odkryto problem związany z przepełnieniem bufora na stosie podczas analizy wiadomości SMS RP-DATA.

CVE-2025-58349
Critical

W procesorach mobilnych Samsung, w tym Exynos 980, 990, 850, 1080 oraz modemach, odkryto problem związany z nieprawidłowym przetwarzaniem pakietów LTE MAC zawierających wiele elementów sterujących (CE). To prowadzi do awarii bazy pasmowej.

CVE-2026-35174
Critical

Chyrp Lite to ultralekki silnik blogowy. Przed wersją 2026.01 istniała podatność na traversję ścieżki w konsoli administracyjnej, która pozwalała administratorowi lub użytkownikowi z uprawnieniami do zmiany ustawień na zmianę ścieżki przesyłania plików na dowolny folder.

PreviousPage 117 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS