CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-46256
Medium

A vulnerability related to LOCALIO in NFS has been resolved in the Linux kernel, which could lead to recursive deadlock during direct memory reclaim. This issue occurred when LOCALIO transitioned to XFS and then back to NFS via nfs_writepages.

CVE-2026-46255
Medium

A vulnerability has been identified in the Linux kernel related to improper clock disabling in the .remove() function of the fsl-edma driver. Clocks are allocated and enabled automatically, but manual disabling causes warnings during driver removal.

CVE-2026-46254
Medium

A vulnerability has been identified in the Linux kernel's AppArmor that allows handling of unaligned dfa tables. These tables can originate from kernel or userspace, potentially leading to unaligned memory accesses on various architectures.

CVE-2026-46252
Medium

In the Linux kernel, a locking issue was found in the error path of regulator_resolve_supply() in the voltage regulator driver. When late enabling of a supply regulator fails, the code calls _regulator_put() without holding the regulator_list_mutex, triggering a lockdep warning. The fix switches to regulator_put() and adds proper locking to prevent concurrent access to rdev while clearing the supply pointer.

CVE-2026-46249
Medium

A vulnerability has been identified in the Linux kernel that leads to a PF driver crash during kexec booting. The issue arises because the AF state from the old kernel can persist into the new one, causing the PF driver to incorrectly assume AF is ready.

CVE-2026-46248
Medium

A vulnerability has been identified in the Linux kernel within the wifi ath12k module, concerning improper link mapping management during failed arvif initialization in STA mode. This can lead to stale link mappings causing warnings in system logs when a new arvif is initialized with the same link ID.

CVE-2026-46247
Medium

A vulnerability has been identified in the Linux kernel related to incorrect determination of the GFX3D clock rate, leading to system crashes. The issue arises from improper parent mapping in the request, which has been fixed by setting the appropriate field in the parent_req structure.

CVE-2026-46245
Medium

A vulnerability in the Linux kernel related to NULL handling in the HPD initialization function in amdgpu_dm has been fixed. The issue was that the amdgpu_dm_hpd_init() function could encounter connectors without a valid dc_link pointer, leading to unsafe dereferencing of this pointer.

CVE-2026-39107
Medium

W interfejsie webowym Kimi AI v1.0 występuje podatność typu Cross Site Scripting w funkcji 'Podgląd'. Aplikacja nieprawidłowo sanitizuje lub koduje ładunki HTML/JavaScript generowane przez model AI, co pozwala na wykonanie złośliwego kodu w sesji przeglądarki ofiary.

CVE-2026-36618
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 odpowiada na zapytania CHAOS TXT dotyczące version.bind, ujawniając wersję oprogramowania resolvera DNS (unbound 1.22.0). To może wspierać ataki ukierunkowane na znane podatności.

CVE-2026-36616
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem układowym AC12G(EU)_V1_200909 zawiera wbudowane, twardo zakodowane dane uwierzytelniające do sterownika WiFi, w tym wspólny klucz RADIUS, klucz testowy WPS oraz domyślny klucz PSK. Te informacje są osadzone w binarnej wersji oprogramowania produkcyjnego.

CVE-2026-36615
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 udostępnia nieudokumentowany punkt końcowy /agileconfigreset, który zwraca zawartość wewnętrznego bufora osobom atakującym, które nie są uwierzytelnione i znajdują się w sąsiedniej sieci.

CVE-2026-36613
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 zwraca 128 bajtów niezinicjalizowanej zawartości wewnętrznego bufora podczas odbierania żądań HTTP POST do nieokreślonych ścieżek. To może ujawniać stan serwera nieautoryzowanym atakującym z sąsiedniej sieci.

CVE-2026-36612
Medium

Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 domyślnie włącza WPS 2.0 z słabą polityką blokady (60-sekundowa blokada po 10 próbach).

CVE-2026-36610
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 przesyła dane logowania do usługi DDNS w postaci niezaszyfrowanej przez HTTP, używając jedynie kodowania Base64. Oprogramowanie nie implementuje TLS, co umożliwia przechwycenie danych przez atakującego w trybie man-in-the-middle.

CVE-2026-36605
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 jest podatny na atak typu denial of service poprzez niewielką liczbę spreparowanych, niekompletnych żądań HTTP, co prowadzi do trwałego awarii wymagającej fizycznego zresetowania zasilania.

CVE-2026-36604
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 nie weryfikuje nagłówka HTTP Host, co umożliwia ataki DNS rebinding. Zewnętrzny atakujący może powiązać domenę z wewnętrznym adresem IP routera, co rozszerza podatność na CORS (Access-Control-Allow-Origin: *) na ataki pochodzące z internetu.

CVE-2026-36602
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 ujawnia układ pamięci jądra poprzez akcję UPnP GetStatusInfo. Nieautoryzowany atakujący z sąsiedniej sieci może uzyskać surowy wskaźnik jądra MIPS KSEG0, co ujawnia układ pamięci jądra i ułatwia dalsze wykorzystanie podatności.

CVE-2026-36460
Medium

Dovestones Softwares ADPhonebook before v4.0.1.1 is vulnerable to a Cross Site Scripting vulnerability. The /Admin/Save API allows an authenticated admin user to store malicious JavaScript payloads in multiple configuration sections without proper input validation or output encoding.

CVE-2026-20233
Medium

A vulnerability in the web-based user interface of Cisco Webex Meetings could have allowed an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack. Cisco has addressed this vulnerability in the Webex Meetings service, and no customer action is needed.

PreviousPage 181 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS