CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-47320
Medium

W podatności CVE-2026-47320 występuje problem z dostępem do niezainicjowanego wskaźnika oraz niekontrolowana rekurencja w bibliotece rlottie od Samsunga, co umożliwia manipulację wskaźnikami oraz przetwarzanie zbyt dużych ładunków danych zserializowanych.

CVE-2026-47319
Medium

W podatności CVE-2026-47319 występuje problem z alokacją pamięci w bibliotece rlottie, który pozwala na nadmierną alokację pamięci z powodu zbyt dużej wartości rozmiaru. Dotyczy to wersji przed 0b4e308fa88c72cbb60cc8a2c1d2c2ad89b101dd.

CVE-2026-47318
Medium

Podatność typu przepełnienia bufora na stosie w bibliotece rlottie od Samsunga pozwala na przepełnienie buforów. Problem dotyczy wersji przed ce72b35a7ad0dded03051d3aa0ef75321c3bd035.

CVE-2026-47306
Medium

Podatność na niekontrolowaną rekurencję w bibliotece rlottie od Samsung Open Source pozwala na przetwarzanie zbyt dużych ładunków danych. Problem dotyczy wersji przed e2d19e3b150e0e4a9586fa90b56fd3061cc98945.

CVE-2026-10305
Medium

Podatność typu out-of-bounds read w bibliotece rlottie od Samsunga pozwala na odczytanie danych poza przydzielonym buforem. Problem dotyczy wersji przed 223a2a41ba4f462e4abe767bebba49a366c9b9fd.

CVE-2026-50212
Medium

Słaba logika walidacji w interfejsach API do rozłączania urządzeń pozwala zdalnemu podmiotowi na wymuszenie rozłączenia niezwiązanych punktów końcowych użytkowników, co prowadzi do poważnych problemów z dostępnością.

CVE-2026-50206
Medium

Ustawienia profilu sieci VPN nie przetwarzają bezpiecznie znaków specjalnych, co umożliwia wstrzyknięcie poleceń za pomocą złośliwych plików konfiguracyjnych.

CVE-2026-49204
Medium

Pozostałe moduły debugowania zawierają stałe dane uwierzytelniające dla wewnętrznych piaskownic testowych AWS Cognito, co stwarza ryzyko wykorzystania zasobów.

CVE-2026-49192
Medium

Endpoint usługi podsumowania ma podatność IDOR, ponieważ nie weryfikuje własności numerów seryjnych sprzętu, co naraża dane urządzeń na zeskrobanie.

CVE-2026-50219
Medium

W bibliotece libexpat przed wersją 2.8.2 brakuje śledzenia głębokości wywołań handlerów dla funkcji XML_GetBuffer, XML_Parse, XML_ParseBuffer, XML_ParserFree lub XML_ParserReset w przypadku naruszenia polityki. Może to prowadzić do wystąpienia błędu use-after-free.

CVE-2026-10805
Medium

W NetworkManager znaleziono lukę, która pozwala na eskalację uprawnień lokalnych. Problem występuje w backendzie dhclient podczas przetwarzania nieprawidłowych adresów URL opisu użycia producenta (MUD). Użytkownik lokalny może wykorzystać tę lukę, aby zwiększyć swoje uprawnienia, uruchamiając skrypt za pomocą spreparowanego adresu MUD, pod warunkiem, że administrator skonfigurował NetworkManager do używania dhclient.

CVE-2026-48681
Medium

OpenStack Ironic w wersjach przed 35.0.2 umożliwia nadpisywanie plików poprzez atak typu directory traversal podczas wdrażania z wykorzystaniem spreparowanego obrazu ISO.

CVE-2026-44917
Medium

OpenStack Ironic przed wersją 35.0.2 pozwala złośliwemu, uwierzytelnionemu administratorowi projektu lub menedżerowi na odczyt lokalnych plików na konduktorze Ironic za pomocą pxe_template.

CVE-2026-10597
Medium

OMICARD EDM opracowany przez ITPison ma podatność na niebezpieczne bezpośrednie odniesienie do obiektu, co pozwala nieautoryzowanym zdalnym atakującym na modyfikację konkretnego parametru w celu uzyskania adresu e-mail użytkownika.

CVE-2026-8653
Medium

Wtyczka MasterStudy LMS Pro Plus dla WordPressa jest podatna na ogólną injekcję SQL poprzez parametr 'columns' we wszystkich wersjach do 4.8.20 włącznie, z powodu niewystarczającego zabezpieczenia dostarczonego przez użytkownika oraz braku odpowiedniego przygotowania istniejącego zapytania SQL. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie instruktora lub wyższym dodawanie dodatkowych zapytań SQL do już istniejących zapytań.

CVE-2026-7764
Medium

An out-of-bounds read vulnerability in the morse.ko HaLow Wi-Fi kernel driver in Morse Micro HaLowLink 2 software prior to version 2.11.12 allows an unauthenticated attacker within radio range to disclose a small amount of kernel heap memory or cause a Denial of Service (kernel oops/panic) via a crafted 802.11ah beacon or probe response frame containing a malformed Vendor Information Element.

CVE-2026-8722
Medium

Net::Async::Statsd::Client versions through 0.005 for Perl allow metric injections. Metric names are not checked for newlines, colons, or pipes, allowing for the injection of additional metrics from untrusted sources.

CVE-2026-46447
Medium

OpenStack Ironic before 35.0.2 allows Boot Script Injection of an iPXE script if the attacker can set node.driver_info or node.instance_info.

CVE-2026-43924
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0 moduł przekierowań nie weryfikuje schematu URL skonfigurowanych przez administratora adresów docelowych, co pozwala na skonfigurowanie dowolnych zewnętrznych URL jako celów przekierowań, tworząc podatność na otwarte przekierowania.

CVE-2026-40495
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. Wersje przed 0.8.0 ujawniają dokładną wersję systemu poprzez parametry cache buster w HTML, omijając ustawienie `hide_version_public`. Informacje te są widoczne dla wszystkich odwiedzających, w tym niezalogowanych gości.

PreviousPage 189 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS