CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-35716
Medium

A stack-based buffer overflow in the motion_privacy.cgi binary of VIVOTEK FD8136 firmware FD8136-VVTK-0300a allows an authenticated remote attacker to execute arbitrary code as root by sending a POST request with an oversized n1 parameter to one of three endpoints.

CVE-2026-34460
Medium

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

CVE-2026-49782
Medium

Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.

CVE-2026-43965
Medium

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

CVE-2026-42795
Medium

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

CVE-2026-41918
Medium

Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.

CVE-2026-35717
Medium

A stack-based buffer overflow in the export_language.cgi binary of VIVOTEK FD8136 firmware FD8136-VVTK-0300a allows authenticated remote attackers to execute arbitrary code as root via a crafted POST request to the /cgi-bin/admin/export_language.cgi endpoint. The handler passes the attacker-controlled Content-Length value directly to fread() as the read size into a fixed-size 0x60-byte stack buffer, overwriting the saved link register.

CVE-2026-32685
Medium

Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.

CVE-2026-32250
Medium

W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.

CVE-2026-28116
Medium

Podatność CVE-2026-28116 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w aplikacji Emilia Projects Progress Planner, co pozwala na ataki typu Stored XSS. Problem ten dotyczy wersji Progress Planner od n/a do 1.9.0.

CVE-2026-27351
Medium

W systemie Crew HRM występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji od n/a do 1.2.2.

CVE-2019-25717
Medium

A vulnerability in Dräger Infinity Delta, Delta XL, and Kappa patient monitors allows unauthenticated network attackers to access log files. Attackers can retrieve device internals, location information, and wired network configuration details.

CVE-2026-8993
Medium

Komponent D.Launcher 2 w ekosystemie klienta eID na Słowacji zawiera podatność na niewłaściwe przetwarzanie handlerów URL. Aplikacja rejestruje wiele niestandardowych handlerów URL, które mogą być wykorzystane do inicjowania pełnej autoryzacji NTLM lub połączenia SMB z infrastrukturą atakującego oraz do przeprowadzania ataków SSRF.

CVE-2026-5191
Medium

Wtyczka Tiled Gallery Carousel Without JetPack dla WordPressa jest podatna na przechowywane ataki typu cross-site scripting (XSS) poprzez parametr 'data-image-title' we wszystkich wersjach do 3.1 włącznie, z powodu niewystarczającej sanitizacji danych wejściowych i ucieczki danych wyjściowych. Umożliwia to uwierzytelnionym atakującym, posiadającym dostęp na poziomie współpracownika i wyżej, wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane przy każdym dostępie użytkownika do zainfekowanej strony.

CVE-2026-46718
Medium

W podatności 'Unsafe Reflection' w Apache Calcite, zewnętrznie kontrolowane dane wejściowe mogą być użyte do wyboru klas lub kodu. Problem ten dotyczy wersji Apache Calcite od 1.5.0 do przed 1.42.

CVE-2026-41115
Medium

Zidentyfikowano podatność na niewłaściwą autoryzację w Apache Kafka. Implementacja API CONSUMER_GROUP_DESCRIBE (69) weryfikuje operację DESCRIBE na zasobie GROUP zamiast operacji READ, co może prowadzić do błędnej konfiguracji list kontroli dostępu (ACL) i niezamierzonych postaw bezpieczeństwa.

CVE-2026-34907
Medium

Wirtualna Uczelnia jest podatna na odzwierciedlone ataki Cross-Site Scripting (XSS) z powodu niebezpiecznego przetwarzania parametru locale w wielu punktach końcowych. Atakujący może stworzyć złośliwy link z osadzonym JavaScriptem w parametrze locale i wysłać go do ofiary.

CVE-2026-10549
Medium

W podatności CVE-2026-10549 występuje luka w filtrze LDAP w bazie danych Yandex przed wersją 25.3.1.25, która pozwala zdalnemu atakującemu z ważnymi poświadczeniami LDAP na ominięcie kontroli członkostwa w grupach, co prowadzi do nieautoryzowanego dostępu do bazy danych.

CVE-2025-53346
Medium

W ThimPress Thim Core występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji Thim Core od n/a do 2.3.3.

CVE-2025-53302
Medium

W podatności CVE-2025-53302 w Anton Shevchuk Constructor brakuje odpowiednich mechanizmów autoryzacji, co pozwala na dostęp do funkcji, które nie są właściwie ograniczone przez listy kontroli dostępu (ACL). Problem ten dotyczy wersji Constructor od n/a do 1.6.5.

PreviousPage 185 of 556Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS