CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Altec DocLink w wersji 4.0.336.0, zarządzany obecnie przez Beyond Limits Inc., udostępnia niebezpieczne punkty końcowe .NET Remoting przez TCP i HTTP/SOAP. Usługa nie wymaga uwierzytelnienia i jest podatna na niebezpieczne deserializowanie obiektów, co pozwala atakującym na odczyt dowolnych plików z systemu.
Caddy przed wersją 2.11.1 miał problem z logiką dzielenia ścieżki FastCGI, co prowadziło do obliczania indeksu podziału na zniekształconej wersji ścieżki żądania. To mogło skutkować nieprawidłowym określeniem `SCRIPT_NAME`, `SCRIPT_FILENAME` i `PATH_INFO`, co w efekcie mogło prowadzić do wykonania niezamierzonych plików PHP.
Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. Przed wersją 2.11.1, matcher żądań HTTP `host` był dokumentowany jako niewrażliwy na wielkość liter, jednak przy dużej liście hostów (>100 wpisów) staje się wrażliwy na wielkość liter, co umożliwia atakującemu ominięcie routingu opartego na hoście oraz wszelkich kontroli dostępu związanych z tą trasą.
Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. W wersjach przed 2.11.1, matcher ścieżek HTTP w Caddy miał być niewrażliwy na wielkość liter, jednak w przypadku wzorców zawierających sekwencje percent-escape (`%xx`), porównywał je z zakodowaną ścieżką żądania bez konwersji na małe litery.
Caddy to rozbudowana platforma serwerowa, która domyślnie używa TLS. W wersjach przed 2.11.1, dwa zignorowane błędy w `ClientAuthentication.provision()` powodują, że uwierzytelnianie certyfikatów klienckich mTLS cicho zawodzi, gdy plik certyfikatu CA jest brakujący, nieczytelny lub uszkodzony.
Oprogramowanie układowe przełącznika sieciowego Binardat 10G08-0800GSM w wersjach wcześniejszych niż V300SP10260209 generuje przewidywalne numeryczne identyfikatory sesji w interfejsie zarządzania przez sieć. Atakujący może odgadnąć ważne identyfikatory sesji i przejąć uwierzytelnione sesje.
Oprogramowanie układowe przełącznika sieciowego Binardat 10G08-0800GSM w wersji V300SP10260209 i wcześniejszych zawiera wbudowane dane logowania administracyjnego, które nie mogą być zmieniane przez użytkowników. Znajomość tych danych umożliwia pełny dostęp administracyjny do urządzenia.
FUXA w wersji 1.2.8 i wcześniejszych zawiera podatność na obejście uwierzytelniania, co prowadzi do zdalnego wykonania kodu (RCE). Problem występuje w middleware server/api/jwt-helper.js, który niewłaściwie ufa nagłówkowi HTTP 'Referer' przy walidacji wewnętrznych żądań.
Wersja 1.0.0 biblioteki bleon-ethical/api-gateway-deploy jest podatna na atak wykorzystujący wstrzyknięcie poleceń systemowych oraz eskalację uprawnień. Atakujący może wykonywać dowolne polecenia z uprawnieniami roota w kontenerze, co może prowadzić do ucieczki z kontenera i nieautoryzowanych modyfikacji infrastruktury.
Memory safety bugs were found in Firefox 147 and Thunderbird 147. Some of these bugs showed evidence of memory corruption and could potentially be exploited to run arbitrary code. The vulnerabilities were fixed in Firefox 148 and Thunderbird 148.
W podatności CVE-2026-2806 występuje niezainicjowana pamięć w komponencie Graficznym: Tekst. Problem ten został naprawiony w wersjach Firefox 148 i Thunderbird 148.
Podatność związana z nieprawidłowym wskaźnikiem w DOM w komponentach Core i HTML. Została naprawiona w wersjach Firefox 148 i Thunderbird 148.
Problem z fałszowaniem w komponencie WebAuthn w przeglądarce Firefox na Androida. Ta podatność została naprawiona w wersji Firefox 148 oraz Thunderbird 148.
Use-after-free vulnerability in the DOM: Core & HTML component of Firefox and Thunderbird. The flaw was fixed in versions 148 of both applications.
A use-after-free vulnerability was found in the JavaScript: GC component of Firefox and Thunderbird. This flaw was fixed in versions 148 of both applications.
A JIT miscompilation vulnerability exists in the JavaScript: WebAssembly component of Firefox and Thunderbird. This flaw was fixed in versions 148 of both products.
A use-after-free vulnerability was found in the JavaScript: GC component of Firefox and Thunderbird. This flaw was fixed in versions 148 of both applications.
Memory safety bugs were found in Firefox ESR 115.32, Firefox ESR 140.7, Thunderbird ESR 140.7, Firefox 147, and Thunderbird 147. Some of these bugs caused memory corruption, which could potentially allow arbitrary code execution.
Memory safety bugs were found in Firefox ESR 140.7, Firefox 147, Thunderbird ESR 140.7, and Thunderbird 147. Some of these bugs showed evidence of memory corruption and could potentially be exploited to run arbitrary code with sufficient effort.
Podatność CVE-2026-2791 dotyczy obejścia środków zaradczych w komponencie sieciowym: pamięć podręczna. Została naprawiona w wersjach Firefox 148, Firefox ESR 140.8, Thunderbird 148 oraz Thunderbird 140.8.

