CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-49940
Medium

Net::CIDR::Set versions through 0.20 for Perl accept non-ASCII IP addresses and netmasks. Unicode digits such as the Arabic-Indic One (U+0661) were accepted but not properly parsed as numbers, which could allow network masks to accept larger networks.

CVE-2026-46739
Medium

Net::Statsd versions before 0.13 for Perl allow metric injections. Metric names are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.

CVE-2026-7774
Medium

A vulnerability in the tarfile module allows bypassing the data filter using crafted link entries, including symlinks with empty or directory-like names, to redirect later archive members outside the intended extraction directory. A malicious tar archive can cause tarfile.extractall() to write files outside the destination directory, subject to the permissions of the extracting process.

CVE-2026-45287
Medium

OpenTelemetry-Go prior to version 0.0.17 has a file descriptor leak issue on each successful `ParseFile` call, which can lead to exhausting the file descriptor limit in a long-running process.

CVE-2026-41178
Medium

OpenTelemetry-Go versions 1.41.0 and 1.43.0 removed raw-length rejection, causing the `Parse` function to process arbitrarily large/invalid baggage headers and log errors, enabling DoS via oversized inputs.

CVE-2026-40930
Medium

LIBPNG to biblioteka referencyjna używana w aplikacjach przetwarzających pliki graficzne PNG. W wersji 1.8.0 występuje problem w parserze APNG, który pozwala na reinterpretację bajtów kontrolowanych przez atakującego jako nagłówek nowego fragmentu, co może prowadzić do nieautoryzowanego dostępu do danych.

CVE-2026-10815
Medium

W systemie zarządzania hostelami LakshayD02 do wersji f87e67c283bab6f718faf2fec6ae39a13bd7036b zidentyfikowano podatność w pliku hostel/index.php na stronie panelu administracyjnego. Manipulacja argumentem ID prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10814
Medium

A vulnerability has been found in milvus-io milvus up to version 2.6.13, affecting unknown code in the file internal/metastore/kv/rootcoord/kv_catalog.go of the Grantee ID Hash Handler component. The manipulation leads to the use of weak hash.

CVE-2026-47707
Medium

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma problem w wersjach od 0.172.0 do 0.315.6. Rozszerzenie MaxAliasesLimiter nie uwzględnia efektu mnożnikowego w przypadku FragmentSpreadNode, co pozwala atakującemu na obejście limitów aliasów.

CVE-2026-47706
Medium

Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma podatność w wersjach od 0.71.0 do 0.315.6 w rozszerzeniu QueryDepthLimiter. Brak detekcji cykli w fragmentach powoduje, że zapytania z cyklicznymi odniesieniami fragmentów prowadzą do nieskończonej rekurencji, co skutkuje błędem RecursionError i awarią procesu walidacji.

CVE-2026-36180
Medium

GNCC GP5 v7.1.76 lacks runtime integrity, allowing physically-proximate attackers to bypass file system read-only protections. A bind-mount attack enables modification of system files and binaries for the duration of a boot session.

CVE-2026-36178
Medium

The factory reset functionality in GNCC GP5 v7.1.76 fails to clear sensitive cryptographic material in the JFFS2 configuration partition, possibly allowing attackers to recover and obtain sensitive user data.

CVE-2026-36175
Medium

A vulnerability in the U-Boot component of GNCC GP5 v7.1.76 allows physically-proximate attackers to bypass authentication and gain root access by interrupting the boot sequence and injecting a crafted string into kernel boot arguments.

CVE-2026-36174
Medium

GNCC GP5 v7.1.76 was found to store sensitive wireless network information in plaintext during routine operations to the serial console. This allows physically proximate attackers to obtain network credentials by monitoring the UART interface.

CVE-2026-10864
Medium

A vulnerability in the MISP dashboard widgets allowed an authenticated user to manipulate field options, potentially disclosing user email addresses and other organization data even when disclosure was disabled in configuration.

CVE-2026-10860
Medium

A logic error in the MISP CRUD component delete handler allows validation failures to be bypassed when using the HTTP DELETE method. Due to missing parentheses in the delete condition, a DELETE request could proceed even when the validation callback rejected the operation.

CVE-2026-10811
Medium

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.

CVE-2026-43926
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

CVE-2026-40605
Medium

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.

CVE-2026-10861
Medium

An open redirect vulnerability existed in MISP UsersController::routeafterlogin() where the value stored in the pre_login_requested_url session key was used as the post-login redirect destination without sufficiently enforcing that it was a local application path.

PreviousPage 177 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS