CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-37700
Medium

A Cross Site Scripting (XSS) vulnerability in MaxSite CMS version 109.2 allows a remote attacker to steal sensitive information via the file upload endpoint on the backend page used by the admin.

CVE-2026-26825
Medium

A use-of-uninitialized memory vulnerability exists in libxls 1.6.3 when parsing malformed XLS files. The issue is reachable via xls_parseWorkBook() and is triggered by uninitialized heap memory originating from the OLE layer.

CVE-2026-26824
Medium

libxls w wersjach do 1.6.3 zawiera podatność na wykorzystanie niezinicjalizowanej pamięci w parserze kontenera OLE. Pamięć przydzielona dla Master Sector Allocation Table (MSAT) w funkcji read_MSAT() nie jest w pełni zainicjalizowana przed jej użyciem przez ole2_validate_sector_chain(), co może prowadzić do awarii aplikacji lub potencjalnego ujawnienia informacji podczas przetwarzania spreparowanego pliku XLS.

CVE-2026-45702
Medium

W OP-TEE OS, który działa jako środowisko zaufane dla jądra Linux, występuje podatność typu confusion w wersjach od 4.3.0 do 4.10.0, związana z przetwarzaniem żądania FFA_MEM_SHARE z normalnego świata. Problem występuje tylko, gdy OP-TEE jest skonfigurowany jako SPMC dla SP S-EL0.

CVE-2026-45614
Medium

OP-TEE to środowisko zaufane (TEE) zaprojektowane jako towarzyszące dla niesecure'nego jądra Linux działającego na rdzeniach Arm Cortex-A. Przed wersją 4.11.0, w wielu ścieżkach dzielenia tajnego klucza ECDH, klucz publiczny nie był weryfikowany jako punkt na odpowiedniej krzywej, co umożliwiało atakującemu rekonstrukcję klucza prywatnego.

CVE-2026-42840
Medium

Użytkownik z autoryzacją może wprowadzić dowolny kod HTML/JavaScript w polach email_id lub mobile_no rekordu klienta, co prowadzi do niebezpiecznego renderowania w interfejsie Punktu Sprzedaży (POS) dla każdego operatora, który wybierze tego klienta. Problem dotyczy wersji ERPNext: 16.16.0.

CVE-2026-42839
Medium

Użytkownik ERPNext z uprawnieniami do edycji rekordów przedmiotów może wprowadzać dowolny kod HTML/JavaScript w polach item_name, description lub image. To prowadzi do niebezpiecznego renderowania w interfejsie koszyka w Punkcie Sprzedaży (POS) dla każdego operatora, który doda ten przedmiot do transakcji.

CVE-2026-26379
Medium

Wersje Koha do 25.11 zawierają podatność typu Server-Side Request Forgery (SSRF) w konfiguracji serwera Z39.50/SRU. Umożliwia to uwierzytelnionym atakującym skanowanie wewnętrznej sieci oraz identyfikację działających usług poprzez analizę czasów odpowiedzi serwera.

CVE-2026-26378
Medium

Podatność typu Cross Site Scripting w Koha 25.11 i wcześniejszych wersjach umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez funkcję przesyłania plików w funkcjach fakturowania.

CVE-2026-46272
Medium

A vulnerability has been identified in the Linux kernel related to a race condition between sysfs mode and perf mode. This issue occurs when both modes are run simultaneously, triggering a warning in the tmc_etr_enable_hw() function.

CVE-2026-46269
Medium

A vulnerability has been identified in the Linux kernel that leads to a NULL pointer dereference when parsing the device tree in the k230 pinctrl driver. This issue occurs when attempting to retrieve the device pointer before it has been initialized.

CVE-2026-46268
Medium

A vulnerability in the Linux kernel related to the p2pmem_alloc_mmap() function has been fixed, which incorrectly checked the page reference count. The change introduces correct assertion conditions, eliminating false warnings.

CVE-2026-46262
Medium

A vulnerability has been identified in the Linux kernel related to improper lock management in the fsl_xcvr_mode_put() function. This can lead to a deadlock when attempting to acquire a read lock while holding a write lock in the same thread.

CVE-2026-46261
Medium

A vulnerability in the Linux kernel has been fixed that could lead to a NULL pointer dereference in the wpcm_fiu_probe() function. The issue occurred when platform_get_resource_byname() returned NULL, potentially causing system crashes.

CVE-2026-46258
Medium

A vulnerability has been identified in the Linux kernel that may lead to NULL pointer dereference in the linehandle_create() function. This issue has been resolved by using the value of handlereq.lines instead of dereferencing the pointer.

CVE-2026-46257
Medium

In the Linux kernel, a vulnerability was fixed that led to an Oops error when read_current_timer was called on ARM32 platforms where SP804 was not registered as sched_clock.

CVE-2026-46256
Medium

A vulnerability related to LOCALIO in NFS has been resolved in the Linux kernel, which could lead to recursive deadlock during direct memory reclaim. This issue occurred when LOCALIO transitioned to XFS and then back to NFS via nfs_writepages.

CVE-2026-46255
Medium

A vulnerability has been identified in the Linux kernel related to improper clock disabling in the .remove() function of the fsl-edma driver. Clocks are allocated and enabled automatically, but manual disabling causes warnings during driver removal.

CVE-2026-46254
Medium

A vulnerability has been identified in the Linux kernel's AppArmor that allows handling of unaligned dfa tables. These tables can originate from kernel or userspace, potentially leading to unaligned memory accesses on various architectures.

CVE-2026-46252
Medium

In the Linux kernel, a locking issue was found in the error path of regulator_resolve_supply() in the voltage regulator driver. When late enabling of a supply regulator fails, the code calls _regulator_put() without holding the regulator_list_mutex, triggering a lockdep warning. The fix switches to regulator_put() and adds proper locking to prevent concurrent access to rdev while clearing the supply pointer.

PreviousPage 190 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS