CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-10856
Medium

A URL validation flaw in the MISP dashboard allowed a crafted URL to be accepted as a local path while being interpreted by browsers as an external URL. This flaw enabled attackers to create buttons that appeared to lead inside the application but redirected users to attacker-controlled sites.

CVE-2026-10855
Medium

An authorization flaw existed in the MISP Event Template Importer overwrite workflow. An authenticated user could overwrite an event template owned by another organization without being a member of that organization.

CVE-2026-10854
Medium

A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions.

CVE-2026-10810
Medium

Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).

CVE-2026-10809
Medium

W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10808
Medium

Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.

CVE-2026-10807
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.

CVE-2026-10806
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.

CVE-2019-25744
Medium

WordPress Popup Builder version 3.49 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter.

CVE-2019-25743
Medium

WordPress Soliloquy Lite version 2.5.6 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by inserting script tags in the post title field.

CVE-2019-25742
Medium

WordPress Theme Zoner Real Estate version 4.1.1 contains a persistent cross-site scripting vulnerability that allows authenticated agents to inject malicious scripts through the Address input field when creating properties.

CVE-2019-25740
Medium

Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.

CVE-2019-25739
Medium

GigToDo version 1.3 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field.

CVE-2019-25737
Medium

Live Chat Unlimited version 2.8.3 contains a stored cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious scripts through the chat input field. Attackers can submit payloads containing script tags and event handlers that execute in the admin area.

CVE-2019-25734
Medium

Wtyczka Contact Form by WD w wersji 1.13.1 zawiera podatność na atak typu cross-site request forgery (CSRF) połączoną z lokalnym dołączaniem plików. Umożliwia to nieautoryzowanym atakującym dołączanie dowolnych plików poprzez wykorzystanie niesanitizowanych parametrów akcji.

CVE-2019-25731
Medium

Zuz Music 2.1 contains a persistent cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious JavaScript by submitting crafted contact form data. Attackers can inject script code through the name, subject, and message parameters in POST requests to /gmusic/zuzconsole/___contact.

CVE-2026-10802
Medium

Wykryto podatność w keystonejs do wersji 20260319, która dotyczy nieznanego kodu w pliku output-field.ts w komponentach GraphQL API Endpoint. Manipulacja tą podatnością prowadzi do nadmiernego zużycia zasobów.

CVE-2025-52606
Medium

HCL iControl jest podatny na lukę związaną z słabą walidacją wejścia. Problem ten wynika z nieprawidłowej implementacji taktyki bezpieczeństwa architektonicznego, gdzie otrzymane dane wejściowe nie są poprawnie weryfikowane pod kątem oczekiwanego typu.

CVE-2026-49077
Medium

Podatność CVE-2026-49077 w wtyczce WP eMember umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych systemowych. Dotyczy to wersji od n/a do 10.2.2.

CVE-2026-8916
Medium

Podatność typu out-of-bounds write w bibliotece rlottie od Samsunga umożliwia przepełnienie buforów. Problem ten dotyczy wersji przed dcfde72eae1b0464dc0dd760aec00ada6a148635.

PreviousPage 178 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS