CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-50226
Medium

Fixed AES-128-CBC keys inside the AcerConnect OTA application allow attackers to forge authorization credentials for arbitrary IMEI numbers. This enables unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.

CVE-2026-50224
Medium

The web administration panel is accessible on the public IPv6 address on port [::]:8080 without default firewall limits, allowing internal API endpoints to be reachable over the WAN.

CVE-2026-4881
Medium

In affected versions of Octopus Server, permissions were not checked correctly, allowing any authenticated user to make server-level changes via a specific API endpoint despite receiving an error.

CVE-2026-49510
Medium

W podatności CVE-2026-49510 występuje przepełnienie lub owinięcie liczb całkowitych w otwartym źródle rlottie firmy Samsung, co umożliwia ataki typu Integer. Problem dotyczy wersji rlottie przed 21292665023e5074b38254432716866d00f1985f.

CVE-2026-47320
Medium

W podatności CVE-2026-47320 występuje problem z dostępem do niezainicjowanego wskaźnika oraz niekontrolowana rekurencja w bibliotece rlottie od Samsunga, co umożliwia manipulację wskaźnikami oraz przetwarzanie zbyt dużych ładunków danych zserializowanych.

CVE-2026-47319
Medium

W podatności CVE-2026-47319 występuje problem z alokacją pamięci w bibliotece rlottie, który pozwala na nadmierną alokację pamięci z powodu zbyt dużej wartości rozmiaru. Dotyczy to wersji przed 0b4e308fa88c72cbb60cc8a2c1d2c2ad89b101dd.

CVE-2026-47318
Medium

Podatność typu przepełnienia bufora na stosie w bibliotece rlottie od Samsunga pozwala na przepełnienie buforów. Problem dotyczy wersji przed ce72b35a7ad0dded03051d3aa0ef75321c3bd035.

CVE-2026-47306
Medium

Podatność na niekontrolowaną rekurencję w bibliotece rlottie od Samsung Open Source pozwala na przetwarzanie zbyt dużych ładunków danych. Problem dotyczy wersji przed e2d19e3b150e0e4a9586fa90b56fd3061cc98945.

CVE-2026-10305
Medium

Podatność typu out-of-bounds read w bibliotece rlottie od Samsunga pozwala na odczytanie danych poza przydzielonym buforem. Problem dotyczy wersji przed 223a2a41ba4f462e4abe767bebba49a366c9b9fd.

CVE-2026-50212
Medium

Słaba logika walidacji w interfejsach API do rozłączania urządzeń pozwala zdalnemu podmiotowi na wymuszenie rozłączenia niezwiązanych punktów końcowych użytkowników, co prowadzi do poważnych problemów z dostępnością.

CVE-2026-50206
Medium

Ustawienia profilu sieci VPN nie przetwarzają bezpiecznie znaków specjalnych, co umożliwia wstrzyknięcie poleceń za pomocą złośliwych plików konfiguracyjnych.

CVE-2026-49204
Medium

Pozostałe moduły debugowania zawierają stałe dane uwierzytelniające dla wewnętrznych piaskownic testowych AWS Cognito, co stwarza ryzyko wykorzystania zasobów.

CVE-2026-49192
Medium

Endpoint usługi podsumowania ma podatność IDOR, ponieważ nie weryfikuje własności numerów seryjnych sprzętu, co naraża dane urządzeń na zeskrobanie.

CVE-2026-50219
Medium

W bibliotece libexpat przed wersją 2.8.2 brakuje śledzenia głębokości wywołań handlerów dla funkcji XML_GetBuffer, XML_Parse, XML_ParseBuffer, XML_ParserFree lub XML_ParserReset w przypadku naruszenia polityki. Może to prowadzić do wystąpienia błędu use-after-free.

CVE-2026-10805
Medium

W NetworkManager znaleziono lukę, która pozwala na eskalację uprawnień lokalnych. Problem występuje w backendzie dhclient podczas przetwarzania nieprawidłowych adresów URL opisu użycia producenta (MUD). Użytkownik lokalny może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia, uruchamiając skrypt za pomocą spreparowanego adresu MUD, pod warunkiem, że administrator skonfigurował NetworkManager do używania dhclient.

CVE-2026-48681
Medium

OpenStack Ironic w wersjach przed 35.0.2 umożliwia nadpisywanie plików poprzez atak typu directory traversal podczas wdrażania z wykorzystaniem spreparowanego obrazu ISO.

CVE-2026-44917
Medium

OpenStack Ironic przed wersją 35.0.2 pozwala złośliwemu, uwierzytelnionemu administratorowi projektu lub menedżerowi na odczyt lokalnych plików na konduktorze Ironic za pomocą pxe_template.

CVE-2026-10597
Medium

OMICARD EDM opracowany przez ITPison ma podatność na niebezpieczne bezpośrednie odniesienie do obiektu, co pozwala nieautoryzowanym zdalnym atakującym na modyfikację konkretnego parametru w celu uzyskania adresu e-mail użytkownika.

CVE-2026-8653
Medium

Wtyczka MasterStudy LMS Pro Plus dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'columns' we wszystkich wersjach do 4.8.20 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie instruktora lub wyższym dodawanie dodatkowych zapytań SQL do już istniejących zapytań.

CVE-2026-7764
Medium

An out-of-bounds read vulnerability in the morse.ko HaLow Wi-Fi kernel driver in Morse Micro HaLowLink 2 software prior to version 2.11.12 allows an unauthenticated attacker within radio range to disclose a small amount of kernel heap memory or cause a Denial of Service (kernel oops/panic) via a crafted 802.11ah beacon or probe response frame containing a malformed Vendor Information Element.

PreviousPage 179 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS