CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Net::CIDR::Set versions through 0.20 for Perl accept non-ASCII IP addresses and netmasks. Unicode digits such as the Arabic-Indic One (U+0661) were accepted but not properly parsed as numbers, which could allow network masks to accept larger networks.
Net::Statsd versions before 0.13 for Perl allow metric injections. Metric names are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.
A vulnerability in the tarfile module allows bypassing the data filter using crafted link entries, including symlinks with empty or directory-like names, to redirect later archive members outside the intended extraction directory. A malicious tar archive can cause tarfile.extractall() to write files outside the destination directory, subject to the permissions of the extracting process.
OpenTelemetry-Go prior to version 0.0.17 has a file descriptor leak issue on each successful `ParseFile` call, which can lead to exhausting the file descriptor limit in a long-running process.
OpenTelemetry-Go versions 1.41.0 and 1.43.0 removed raw-length rejection, causing the `Parse` function to process arbitrarily large/invalid baggage headers and log errors, enabling DoS via oversized inputs.
LIBPNG to biblioteka referencyjna używana w aplikacjach przetwarzających pliki graficzne PNG. W wersji 1.8.0 występuje problem w parserze APNG, który pozwala na reinterpretację bajtów kontrolowanych przez atakującego jako nagłówek nowego fragmentu, co może prowadzić do nieautoryzowanego dostępu do danych.
W systemie zarządzania hostelami LakshayD02 do wersji f87e67c283bab6f718faf2fec6ae39a13bd7036b zidentyfikowano podatność w pliku hostel/index.php na stronie panelu administracyjnego. Manipulacja argumentem ID prowadzi do braku autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
A vulnerability has been found in milvus-io milvus up to version 2.6.13, affecting unknown code in the file internal/metastore/kv/rootcoord/kv_catalog.go of the Grantee ID Hash Handler component. The manipulation leads to the use of weak hash.
Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma problem w wersjach od 0.172.0 do 0.315.6. Rozszerzenie MaxAliasesLimiter nie uwzględnia efektu mnożnikowego w przypadku FragmentSpreadNode, co pozwala atakującemu na obejście limitów aliasów.
Biblioteka Strawberry GraphQL, używana do tworzenia API GraphQL, ma podatność w wersjach od 0.71.0 do 0.315.6 w rozszerzeniu QueryDepthLimiter. Brak detekcji cykli w fragmentach powoduje, że zapytania z cyklicznymi odniesieniami fragmentów prowadzą do nieskończonej rekurencji, co skutkuje błędem RecursionError i awarią procesu walidacji.
GNCC GP5 v7.1.76 lacks runtime integrity, allowing physically-proximate attackers to bypass file system read-only protections. A bind-mount attack enables modification of system files and binaries for the duration of a boot session.
The factory reset functionality in GNCC GP5 v7.1.76 fails to clear sensitive cryptographic material in the JFFS2 configuration partition, possibly allowing attackers to recover and obtain sensitive user data.
A vulnerability in the U-Boot component of GNCC GP5 v7.1.76 allows physically-proximate attackers to bypass authentication and gain root access by interrupting the boot sequence and injecting a crafted string into kernel boot arguments.
GNCC GP5 v7.1.76 was found to store sensitive wireless network information in plaintext during routine operations to the serial console. This allows physically proximate attackers to obtain network credentials by monitoring the UART interface.
A vulnerability in the MISP dashboard widgets allowed an authenticated user to manipulate field options, potentially disclosing user email addresses and other organization data even when disclosure was disabled in configuration.
A logic error in the MISP CRUD component delete handler allows validation failures to be bypassed when using the HTTP DELETE method. Due to missing parentheses in the delete condition, a DELETE request could proceed even when the validation callback rejected the operation.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.
FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.
An open redirect vulnerability existed in MISP UsersController::routeafterlogin() where the value stored in the pre_login_requested_url session key was used as the post-login redirect destination without sufficiently enforcing that it was a local application path.

