CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-70245
Critical

W podatności CVE-2025-70245 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWizardSelectMode.

CVE-2026-28256
Critical

W podatności typu 'Użycie zakodowanych na sztywno, istotnych dla bezpieczeństwa stałych' w systemach Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.

CVE-2026-28255
Critical

W podatności typu Użycie twardo zakodowanych poświadczeń w Trane Tracer SC, Tracer SC+ i Tracer Concierge, atakujący może uzyskać dostęp do wrażliwych informacji oraz przejąć konta użytkowników.

CVE-2026-28252
Critical

Podatność związana z użyciem uszkodzonego lub ryzykownego algorytmu kryptograficznego w urządzeniach Trane Tracer SC, Tracer SC+ i Tracer Concierge może umożliwić atakującemu ominięcie uwierzytelnienia i uzyskanie dostępu na poziomie root.

CVE-2026-26795
Critical

W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez parametr modułu w funkcji M.get_system_log. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

CVE-2026-26792
Critical

W wersji GL-iNet GL-AR300M16 v4.3.11 zidentyfikowano wiele podatności na wstrzykiwanie poleceń w funkcji set_upgrade, wykorzystujących parametry modem_url, target_version, current_version, firmware_upload, hash_type, hash_value oraz upgrade_type. Te podatności umożliwiają atakującym wykonywanie dowolnych poleceń za pomocą spreparowanego wejścia.

CVE-2026-26791
Critical

W wersji 4.3.11 urządzenia GL-iNet GL-AR300M16 odkryto podatność na wstrzykiwanie poleceń poprzez parametr port w funkcji enable_echo_server. Ta podatność umożliwia atakującym wykonywanie dowolnych poleceń za pomocą odpowiednio przygotowanego wejścia.

CVE-2026-28792
Critical

Tina to system zarządzania treścią bez interfejsu graficznego. W wersjach przed 2.1.8, serwer deweloperski TinaCMS CLI łączył luźną konfigurację CORS (Access-Control-Allow-Origin: *) z podatnością na przejście ścieżki, co umożliwia atak typu drive-by w przeglądarce.

CVE-2026-21708
Critical

Podatność umożliwia użytkownikowi Backup Viewer zdalne wykonanie kodu (RCE) jako użytkownik postgres. To może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2026-21671
Critical

The vulnerability allows an authenticated user with the Backup Administrator role to perform remote code execution (RCE) in high availability (HA) deployments of Veeam Backup & Replication.

CVE-2026-21669
Critical

The vulnerability allows an authenticated domain user to perform remote code execution (RCE) on the Backup Server.

CVE-2026-21667
Critical

Podatność umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonanie kodu (RCE) na serwerze kopii zapasowej.

CVE-2026-21666
Critical

Podatność umożliwia uwierzytelnionemu użytkownikowi domeny zdalne wykonanie kodu (RCE) na serwerze kopii zapasowych.

CVE-2026-3060
Critical

System rozdzielania równoległego kodera SGLang jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez moduł rozdzielania, który deserializuje nieufne dane przy użyciu pickle.loads() bez uwierzytelnienia.

CVE-2026-3059
Critical

Moduł generacji multimodalnej SGLang jest podatny na zdalne wykonanie kodu bez uwierzytelnienia poprzez brokera ZMQ, który deserializuje nieufne dane za pomocą pickle.loads() bez autoryzacji.

CVE-2025-59388
Critical

Zgłoszono podatność związaną z użyciem twardo zakodowanego hasła w Hyper Data Protector. Zdalni atakujący mogą wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu.

CVE-2026-3916
Critical

W Google Chrome przed wersją 146.0.7680.71 wystąpił błąd odczytu poza zakresem w funkcji Web Speech, który mógł pozwolić zdalnemu atakującemu na potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-32136
Critical

AdGuard Home to oprogramowanie do blokowania reklam i śledzenia w sieci. Przed wersją 0.107.73, nieautoryzowany atakujący mógł obejść wszelkie mechanizmy uwierzytelniania, wysyłając żądanie HTTP/1.1, które prosiło o aktualizację do HTTP/2 w czystym tekście (h2c). Po zaakceptowaniu aktualizacji, połączenie HTTP/2 było obsługiwane bez żadnego middleware'u uwierzytelniającego.

CVE-2026-32133
Critical

2FAuth to aplikacja webowa do zarządzania kontami dwuetapowej autoryzacji (2FA) i generowania kodów bezpieczeństwa. W wersjach przed 6.1.0 występuje podatność typu blind SSRF, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych żądań HTTP z serwera do wewnętrznych sieci i punktów końcowych metadanych w chmurze.

CVE-2026-27591
Critical

Winter to darmowy, otwartoźródłowy system zarządzania treścią (CMS) oparty na frameworku Laravel PHP. W wersjach przed 1.0.477, 1.1.12 i 1.2.12, użytkownicy z autoryzowanym dostępem do backendu mogli podnieść poziom dostępu swoich kont poprzez modyfikację ról i uprawnień przypisanych do ich kont za pomocą specjalnie przygotowanych żądań.

PreviousPage 144 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS