CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
A use-after-free vulnerability was found in the JavaScript: WebAssembly component, fixed in Firefox 148, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
Use-after-free vulnerability in the JavaScript Engine: JIT component of Firefox and Thunderbird. The flaw was fixed in Firefox 148, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A use-after-free vulnerability was found in the JavaScript Engine component of Firefox and Thunderbird. The flaw is fixed in Firefox 148, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A JIT miscompilation leading to use-after-free was discovered in the JavaScript Engine component of Firefox and Thunderbird. This vulnerability was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A use-after-free vulnerability was discovered in the JavaScript Engine component of Firefox and Thunderbird. It is fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
An integer overflow was found in the JavaScript: Standard Library component. This vulnerability was fixed in Firefox 148, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A sandbox escape vulnerability exists in the Graphics: WebRender component of Firefox and Thunderbird. The flaw was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A vulnerability in the WebRender component of Firefox and Thunderbird allows sandbox escape due to incorrect boundary conditions in graphics. The flaw is fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A vulnerability in the Graphics: ImageLib component of Firefox and Thunderbird is caused by incorrect boundary conditions. This flaw may lead to unexpected behavior when processing images.
A use-after-free vulnerability was found in the JavaScript: GC component of Firefox and Thunderbird. It is fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
A vulnerability in the WebRTC: Audio/Video component of Firefox and Thunderbird is caused by incorrect boundary conditions. The flaw was fixed in Firefox 148, Firefox ESR 115.33, Firefox ESR 140.8, Thunderbird 148, and Thunderbird 140.8.
Złośliwe skrypty mogą powodować desynchronizację między paskiem adresu a treścią strony w Firefox na iOS, co pozwala na wyświetlanie stron kontrolowanych przez atakującego pod fałszywymi domenami. Ta podatność została naprawiona w wersji 147.4 przeglądarki Firefox na iOS.
Urządzenia Slican NCP/IPL/IPM/IPU są podatne na wstrzykiwanie funkcji PHP. Nieautoryzowany zdalny atakujący może wykonać dowolne polecenia PHP, wysyłając specjalnie przygotowane żądania do punktu końcowego /webcti/session_ajax.php.
W dotCMS występuje podatność na ucieczkę z piaskownicy w silniku skryptowym Velocity (VTools), która pozwala uwierzytelnionym użytkownikom z uprawnieniami do skryptów na obejście ograniczeń klas i pakietów narzucanych przez SecureUberspectorImpl. Atakujący może usunąć te ograniczenia i uzyskać dostęp do dowolnych klas Java.
W Serv-U występuje podatność typu Insecure Direct Object Reference (IDOR), która pozwala złośliwemu użytkownikowi na wykonanie kodu natywnego jako konto z uprawnieniami administracyjnymi. Wymaga to jednak posiadania uprawnień administracyjnych do wykorzystania tej luki.
W Serv-U występuje podatność typu confusion, która po wykorzystaniu umożliwia złośliwemu aktorowi wykonanie dowolnego kodu natywnego z uprawnieniami konta uprzywilejowanego. Wymaga to jednak posiadania uprawnień administracyjnych do nadużycia.
W Serv-U występuje podatność typu confusion, która po wykorzystaniu pozwala złośliwemu aktorowi na wykonanie dowolnego kodu natywnego z uprawnieniami konta uprzywilejowanego. Wymaga to jednak posiadania uprawnień administracyjnych do nadużycia.
W Serv-U występuje luka w kontroli dostępu, która pozwala złośliwemu użytkownikowi na utworzenie konta administratora systemu oraz wykonanie dowolnego kodu z uprawnieniami konta uprzywilejowanego, wykorzystując uprawnienia administratora domeny lub grupy.
Ormar to asynchroniczny mini ORM dla Pythona. W wersjach od 0.9.9 do 0.22.0, podczas wykonywania zapytań agregacyjnych, Ormar ORM wprowadza nazwy kolumn dostarczone przez użytkownika bez walidacji lub sanitizacji, co umożliwia atakującym wstrzykiwanie złośliwego kodu SQL.
W firmware urządzenia Zyxel EX3510-B0 w wersjach do 5.17(ABUP.15.1)C0 występuje podatność na wstrzykiwanie poleceń w funkcji UPnP. Atakujący zdalnie może wykonać polecenia systemu operacyjnego na podatnym urządzeniu, wysyłając specjalnie przygotowane żądania SOAP UPnP.

