CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Net::Async::Statsd::Client versions through 0.005 for Perl allow metric injections. Metric names are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.
OpenStack Ironic before 35.0.2 allows Boot Script Injection of an iPXE script if the attacker can set node.driver_info or node.instance_info.
FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0 moduł przekierowań nie weryfikuje schematu URL skonfigurowanych przez administratora adresów docelowych, co pozwala na skonfigurowanie dowolnych zewnętrznych URL jako celów przekierowań, tworząc podatność na otwarte przekierowania.
FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. Wersje przed 0.8.0 ujawniają dokładną wersję systemu poprzez parametry cache buster w HTML, omijając ustawienie `hide_version_public`. Informacje te są widoczne dla wszystkich odwiedzających, w tym niezalogowanych gości.
A Cross Site Scripting (XSS) vulnerability in MaxSite CMS version 109.2 allows a remote attacker to steal sensitive information via the file upload endpoint on the backend page used by the admin.
A use-of-uninitialized memory vulnerability exists in libxls 1.6.3 when parsing malformed XLS files. The issue is reachable via xls_parseWorkBook() and is triggered by uninitialized heap memory originating from the OLE layer.
libxls w wersjach do 1.6.3 zawiera podatność na wykorzystanie niezinicjalizowanej pamięci w parserze kontenera OLE. Pamięć przydzielona dla Master Sector Allocation Table (MSAT) w funkcji read_MSAT() nie jest w pełni zainicjalizowana przed jej użyciem przez ole2_validate_sector_chain(), co może prowadzić do awarii aplikacji lub potencjalnego ujawnienia informacji podczas przetwarzania spreparowanego pliku XLS.
W OP-TEE OS, który działa jako środowisko zaufane dla jądra Linux, występuje podatność typu confusion w wersjach od 4.3.0 do 4.10.0, związana z przetwarzaniem żądania FFA_MEM_SHARE z normalnego świata. Problem występuje tylko, gdy OP-TEE jest skonfigurowany jako SPMC dla SP S-EL0.
OP-TEE to środowisko zaufane (TEE) zaprojektowane jako towarzyszące dla niesecure'nego jądra Linux działającego na rdzeniach Arm Cortex-A. Przed wersją 4.11.0, w wielu ścieżkach dzielenia tajnego klucza ECDH, klucz publiczny nie był weryfikowany jako punkt na odpowiedniej krzywej, co umożliwiało atakującemu rekonstrukcję klucza prywatnego.
Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.
Użytkownik ERPNext z uprawnieniami do edycji rekordów przedmiotów może wprowadzać dowolny kod HTML/JavaScript w polach item_name, description lub image. To prowadzi do niebezpiecznego renderowania w interfejsie koszyka w Punkcie Sprzedaży (POS) dla każdego operatora, który doda ten przedmiot do transakcji.
Wersje Koha do 25.11 zawierają podatność typu Server-Side Request Forgery (SSRF) w konfiguracji serwera Z39.50/SRU. Umożliwia to uwierzytelnionym atakującym skanowanie wewnętrznej sieci oraz identyfikację działających usług poprzez analizę czasów odpowiedzi serwera.
Podatność typu Cross Site Scripting w Koha 25.11 i wcześniejszych wersjach umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików w funkcjach fakturowania.
A vulnerability has been identified in the Linux kernel related to a race condition between sysfs mode and perf mode. This issue occurs when both modes are run simultaneously, triggering a warning in the tmc_etr_enable_hw() function.
A vulnerability has been identified in the Linux kernel that leads to a NULL pointer dereference when parsing the device tree in the k230 pinctrl driver. This issue occurs when attempting to retrieve the device pointer before it has been initialized.
A vulnerability in the Linux kernel related to the p2pmem_alloc_mmap() function has been fixed, which incorrectly checked the page reference count. The change introduces correct assertion conditions, eliminating false warnings.
A vulnerability has been identified in the Linux kernel related to improper lock management in the fsl_xcvr_mode_put() function. This can lead to a deadlock when attempting to acquire a read lock while holding a write lock in the same thread.
A vulnerability in the Linux kernel has been fixed that could lead to a NULL pointer dereference in the wpcm_fiu_probe() function. The issue occurred when platform_get_resource_byname() returned NULL, potentially causing system crashes.
A vulnerability has been identified in the Linux kernel that may lead to NULL pointer dereference in the linehandle_create() function. This issue has been resolved by using the value of handlereq.lines instead of dereferencing the pointer.
In the Linux kernel, a vulnerability was fixed that led to an Oops error when read_current_timer was called on ARM32 platforms where SP804 was not registered as sched_clock.

