CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-45289
Medium

CloudburstMC Protocol to biblioteka protokołów dla Minecraft Bedrock Edition. W wersjach przed 3.0.0.Beta12-20260420.182526-15 występuje częściowy brak walidacji tokenów autoryzacyjnych typu FULL, co może prowadzić do nieautoryzowanego dostępu.

CVE-2026-41569
Medium

W wersjach przed 2026.2.3, dostawca WS-Federation w authentik weryfikuje parametr wreply użytkownika za pomocą prostego sprawdzenia prefiksu, zamiast właściwego parsowania URL. Atakujący może stworzyć link logowania, który umożliwia podanie wartości wreply z innego źródła, co prowadzi do wysłania odpowiedzi logowania WS-Federation do infrastruktury kontrolowanej przez atakującego.

CVE-2026-10624
Medium

W systemie SourceCodester Human Resource Management w wersji 1.0 odkryto podatność w nieznanej funkcjonalności pliku /detailview.php, dotyczącej strony widoku pracownika. Manipulacja argumentem employeeid prowadzi do niewłaściwej kontroli identyfikatorów zasobów.

CVE-2026-5074
Medium

Wtyczka ARMember Premium dla WordPressa jest podatna na atak typu SQL Injection poprzez parametr 'sSortDir_0' w akcji AJAX `get_private_content_data` we wszystkich wersjach do i włącznie z 7.3.1. Problem wynika z niewystarczającej sanitizacji parametru dostarczonego przez użytkownika, który jest bezpośrednio łączony w klauzuli ORDER BY zapytania SQL bez sprawdzenia białej listy.

CVE-2026-48682
Medium

FastNetMon Community Edition w wersji do 1.2.9 zawiera podatność na odczyt poza granicami w parserze pakietów IPv4. Problem występuje w src/simple_packet_parser_ng.cpp, gdzie po walidacji długości pakietu, wskaźnik lokalny jest przesuwany bez odpowiedniej walidacji wartości IHL, co może prowadzić do nadmiernego odczytu pamięci.

CVE-2026-40181
Medium

React Router, używany w aplikacjach React, ma podatność na otwarte przekierowania w wersjach od 7.0.0 do 7.14.0 oraz od 6.7.0 do 6.30.3. Przekazywanie określonych URL-i do funkcji przekierowania może prowadzić do nieautoryzowanego przekierowania na zewnętrzne domeny, jeśli wartości ścieżek zaczynają się od //. Problem ten nie dotyczy aplikacji korzystających z trybu deklaratywnego (<BrowserRouter>).

CVE-2026-35049
Medium

Wire-ios to klient iOS dla aplikacji do bezpiecznej wymiany wiadomości Wire. Przed wersją 4.16.0, otrzymanie spreparowanej złośliwej wiadomości z zewnętrznego źródła, zawierającej zaszyfrowany ładunek krótszy niż 16 bajtów, powodowało awarię aplikacji. Aplikacja wchodzi w pętlę awarii po ponownym uruchomieniu, co uniemożliwia jej otwarcie bez wyczyszczenia lokalnego stanu.

CVE-2026-34993
Medium

In the AIOHTTP library before version 3.14.0, a vulnerability allows arbitrary code execution when loading untrusted data via the ``CookieJar.load()`` function. The issue primarily affects applications that allow loading attacker-controlled files.

CVE-2026-33553
Medium

CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.

CVE-2026-30586
Medium

Podatność typu Cross Site Scripting w aplikacji usememos Memos w wersji 0.26.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez strony SANITIZE_SCHEMA, komponent renderowania notatek oraz widok notatek publicznych/prywatnych.

CVE-2026-10702
Medium

A JIT miscompilation vulnerability exists in the JavaScript Engine of Firefox, which may lead to unexpected behavior or potential security compromise. This issue was fixed in Firefox version 151.0.3.

CVE-2026-10616
Medium

Zidentyfikowano słabość w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji TeamTasksTool.executeComplete w pliku internal/tools/team_tasks_lifecycle.go, co może prowadzić do braku autoryzacji podczas manipulacji.

CVE-2026-10584
Medium

Serwer proxy w Graph Explorer przed wersją 3.0.1 przechodzi na HTTP, gdy brakuje plików certyfikatów, co może umożliwić zdalnym atakującym uzyskanie poufnych informacji poprzez przechwytywanie żądań, które miały być wysyłane przez HTTPS.

CVE-2021-4479
Medium

Dräger Atlan A350 versions 1.00 up to and including 1.01 contains an improper input handling vulnerability that allows attackers to cause a denial of service by sending specifically crafted non-Medibus-compliant data through the Medibus interface. Attackers can transmit malformed data to overload the internal processor.

CVE-2019-25724
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.

CVE-2019-25723
Medium

Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.

CVE-2019-25721
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.

CVE-2026-49943
Medium

W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.

CVE-2026-42073
Medium

OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.

CVE-2026-40713
Medium

Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

PreviousPage 183 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS