CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-8722
Medium

Net::Async::Statsd::Client versions through 0.005 for Perl allow metric injections. Metric names are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.

CVE-2026-46447
Medium

OpenStack Ironic before 35.0.2 allows Boot Script Injection of an iPXE script if the attacker can set node.driver_info or node.instance_info.

CVE-2026-43924
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0 moduł przekierowań nie weryfikuje schematu URL skonfigurowanych przez administratora adresów docelowych, co pozwala na skonfigurowanie dowolnych zewnętrznych URL jako celów przekierowań, tworząc podatność na otwarte przekierowania.

CVE-2026-40495
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. Wersje przed 0.8.0 ujawniają dokładną wersję systemu poprzez parametry cache buster w HTML, omijając ustawienie `hide_version_public`. Informacje te są widoczne dla wszystkich odwiedzających, w tym niezalogowanych gości.

CVE-2026-37700
Medium

A Cross Site Scripting (XSS) vulnerability in MaxSite CMS version 109.2 allows a remote attacker to steal sensitive information via the file upload endpoint on the backend page used by the admin.

CVE-2026-26825
Medium

A use-of-uninitialized memory vulnerability exists in libxls 1.6.3 when parsing malformed XLS files. The issue is reachable via xls_parseWorkBook() and is triggered by uninitialized heap memory originating from the OLE layer.

CVE-2026-26824
Medium

libxls w wersjach do 1.6.3 zawiera podatność na wykorzystanie niezinicjalizowanej pamięci w parserze kontenera OLE. Pamięć przydzielona dla Master Sector Allocation Table (MSAT) w funkcji read_MSAT() nie jest w pełni zainicjalizowana przed jej użyciem przez ole2_validate_sector_chain(), co może prowadzić do awarii aplikacji lub potencjalnego ujawnienia informacji podczas przetwarzania spreparowanego pliku XLS.

CVE-2026-45702
Medium

W OP-TEE OS, który działa jako środowisko zaufane dla jądra Linux, występuje podatność typu confusion w wersjach od 4.3.0 do 4.10.0, związana z przetwarzaniem żądania FFA_MEM_SHARE z normalnego świata. Problem występuje tylko, gdy OP-TEE jest skonfigurowany jako SPMC dla SP S-EL0.

CVE-2026-45614
Medium

OP-TEE to środowisko zaufane (TEE) zaprojektowane jako towarzyszące dla niesecure'nego jądra Linux działającego na rdzeniach Arm Cortex-A. Przed wersją 4.11.0, w wielu ścieżkach dzielenia tajnego klucza ECDH, klucz publiczny nie był weryfikowany jako punkt na odpowiedniej krzywej, co umożliwiało atakującemu rekonstrukcję klucza prywatnego.

CVE-2026-42840
Medium

Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.

CVE-2026-42839
Medium

Użytkownik ERPNext z uprawnieniami do edycji rekordów przedmiotów może wprowadzać dowolny kod HTML/JavaScript w polach item_name, description lub image. To prowadzi do niebezpiecznego renderowania w interfejsie koszyka w Punkcie Sprzedaży (POS) dla każdego operatora, który doda ten przedmiot do transakcji.

CVE-2026-26379
Medium

Wersje Koha do 25.11 zawierają podatność typu Server-Side Request Forgery (SSRF) w konfiguracji serwera Z39.50/SRU. Umożliwia to uwierzytelnionym atakującym skanowanie wewnętrznej sieci oraz identyfikację działających usług poprzez analizę czasów odpowiedzi serwera.

CVE-2026-26378
Medium

Podatność typu Cross Site Scripting w Koha 25.11 i wcześniejszych wersjach umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików w funkcjach fakturowania.

CVE-2026-46272
Medium

A vulnerability has been identified in the Linux kernel related to a race condition between sysfs mode and perf mode. This issue occurs when both modes are run simultaneously, triggering a warning in the tmc_etr_enable_hw() function.

CVE-2026-46269
Medium

A vulnerability has been identified in the Linux kernel that leads to a NULL pointer dereference when parsing the device tree in the k230 pinctrl driver. This issue occurs when attempting to retrieve the device pointer before it has been initialized.

CVE-2026-46268
Medium

A vulnerability in the Linux kernel related to the p2pmem_alloc_mmap() function has been fixed, which incorrectly checked the page reference count. The change introduces correct assertion conditions, eliminating false warnings.

CVE-2026-46262
Medium

A vulnerability has been identified in the Linux kernel related to improper lock management in the fsl_xcvr_mode_put() function. This can lead to a deadlock when attempting to acquire a read lock while holding a write lock in the same thread.

CVE-2026-46261
Medium

A vulnerability in the Linux kernel has been fixed that could lead to a NULL pointer dereference in the wpcm_fiu_probe() function. The issue occurred when platform_get_resource_byname() returned NULL, potentially causing system crashes.

CVE-2026-46258
Medium

A vulnerability has been identified in the Linux kernel that may lead to NULL pointer dereference in the linehandle_create() function. This issue has been resolved by using the value of handlereq.lines instead of dereferencing the pointer.

CVE-2026-46257
Medium

In the Linux kernel, a vulnerability was fixed that led to an Oops error when read_current_timer was called on ARM32 platforms where SP804 was not registered as sched_clock.

PreviousPage 180 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS