CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-71313
Medium

A vulnerability has been identified in the Linux kernel related to the lack of NULL check after calling alloc_workqueue(). This may lead to a NULL pointer dereference, resulting in driver malfunction.

CVE-2019-25720
Medium

Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają podatność na atak typu denial-of-service we wszystkich wersjach oprogramowania. Umożliwia to nieautoryzowanym atakującym zrestartowanie monitora poprzez wysyłanie źle sformatowanych pakietów sieciowych.

CVE-2026-42320
Medium

GLPI to darmowe oprogramowanie do zarządzania aktywami i IT. W wersjach od 0.50 do przed 10.0.25 oraz 11.0.7 technik może odczytać dowolne pliki znajdujące się w katalogu GLPI_DOC_DIR.

CVE-2026-3276
Medium

The unicodedata.normalize() function can consume excessive CPU time when processing specially crafted Unicode input containing long runs of combining characters with alternating Canonical Combining Class values. This affects all normalization forms.

CVE-2022-31114
Medium

Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.

CVE-2026-47325
Medium

System zarządzania szkołą ProjectsAndPrograms wykorzystuje przewidywalne dane uwierzytelniające, generując hasła uczniów i nauczycieli wyłącznie na podstawie daty urodzenia użytkownika. Aplikacja nie wymaga zmiany hasła przy pierwszym logowaniu, co umożliwia atakującym łatwe odgadnięcie lub wyprowadzenie ważnych danych logowania.

CVE-2026-47324
Medium

System zarządzania szkołą ProjectsAndPrograms jest podatny na przechowywane ataki Cross-Site Scripting (XSS) w wielu atrybutach obiektów uczniów i nauczycieli. Autoryzowany atakujący, taki jak nauczyciel lub administrator, może wstrzyknąć złośliwy kod JavaScript, który zostanie następnie wykonany w przeglądarkach innych użytkowników.

CVE-2026-44545
Medium

Daphne versions before 4.2.2 did not pass maxFramePayloadSize or maxMessagePayloadSize to Autobahn's WebSocketServerFactory. Autobahn defaults both values to 0 (unlimited), allowing an unauthenticated remote attacker to send arbitrarily large WebSocket messages or frames, leading to excessive memory consumption and denial of service.

CVE-2025-70101
Medium

An out-of-bounds read vulnerability exists in the ext4_ext_binsearch_idx function in src/ext4_extent.c of the lwext4 1.0.0 library. It is caused by insufficient validation of extent header fields before performing a binary search, leading to invalid pointer calculations and out-of-bounds memory read during extent tree traversal.

CVE-2025-70100
Medium

A divide-by-zero vulnerability in the ext4_block_set_lb_size function of the lwext4 1.0.0 library allows attackers to cause a denial of service by providing a malformed ext4 filesystem image with a zero logical block size. The issue occurs during mount or image processing, leading to a Floating-Point Exception (FPE) under sanitizers or a runtime crash in standard builds due to missing validation of lb_size.

CVE-2025-60477
Medium

W funkcji gf_filter_pid_resolve_file_template_ex w projekcie GPAC/MP4Box przed wersją 26.02.0 występuje dereferencja wskaźnika NULL, co pozwala atakującym na spowodowanie awarii usługi (DoS) poprzez dostarczenie spreparowanego pliku.

CVE-2024-47273
Medium

W podatności typu 'Path Traversal' w funkcjonalności Backup Task w Synology Hyper Backup przed wersją 4.1.2-4036 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu. Umożliwia to zdalnym, uwierzytelnionym użytkownikom zapisanie określonych plików za pomocą nieokreślonych wektorów.

CVE-2024-47263
Medium

W podatności CVE-2024-47263 występuje niewłaściwe ograniczenie ścieżki do zastrzeżonego katalogu ('Path Traversal') w komponencie Backup.Repository webapi w Synology Hyper Backup przed wersją 4.1.2-4036. Umożliwia to zdalnym użytkownikom z uprawnieniami administratora zapisanie określonych plików zawierających niesensytywne informacje za pomocą nieokreślonych wektorów.

CVE-2023-52951
Medium

W podatności CVE-2023-52951 w kliencie Synology Note Station przed wersją 2.2.4-703 występuje przesyłanie wrażliwych informacji w postaci niezaszyfrowanej, co umożliwia atakującym typu man-in-the-middle przechwycenie danych uwierzytelniających użytkowników.

CVE-2026-5078
Medium

Middleware logowania morgan ma lukę, która pozwala na wyciąganie nazwy użytkownika z nagłówka autoryzacji Basic i zapisywanie jej w logach bez neutralizacji znaków kontrolnych. Atakujący może wysłać spreparowany nagłówek, co prowadzi do fałszowania logów.

CVE-2026-10703
Medium

Wykryto podatność w EIPStackGroup OpENer do wersji 2.3.0, dotycząca funkcji CreateMessageRouterRequestStructure w pliku cipmessagerouter.c komponentu SendRRData Handler. Manipulacja prowadzi do wykorzystania pamięci po jej zwolnieniu, co umożliwia zdalne wykorzystanie podatności.

CVE-2026-10693
Medium

W systemie rezerwacji łodzi online SourceCodester w wersji 1.0 wykryto podatność bezpieczeństwa. Dotyczy ona nieznanej funkcjonalności komponentu punktu administracyjnego, co prowadzi do niewłaściwej autoryzacji. Atak można przeprowadzić zdalnie.

CVE-2026-9732
Medium

Wtyczka EmergencyWP – Dead Man's switch & legacy deliverance dla WordPress jest podatna na atak typu Cross-Site Request Forgery we wszystkich wersjach do i włącznie z 1.4.2. Problem wynika z braku lub nieprawidłowej walidacji nonce w funkcji form_settings_ui, co umożliwia nieautoryzowanym atakującym modyfikację ustawień wtyczki.

CVE-2026-7421
Medium

Wtyczka Passeum Ticketing dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) we wszystkich wersjach do i włącznie z 1.0. Problem wynika z metody `get_shop_url()`, która zwraca wartość ustawienia `shop_name` bez sanitizacji, co pozwala na wstrzykiwanie złośliwych skryptów przez atakujących z dostępem na poziomie Administratora.

CVE-2026-10692
Medium

Zidentyfikowano słabość w kodzie johnhuang316 w wersjach do 2.14.0, dotyczącą funkcji is_safe_regex_pattern w komponencie search_code_advanced. Manipulacja argumentem regex może prowadzić do nieefektywnej złożoności wyrażeń regularnych, co umożliwia zdalne przeprowadzenie ataku.

PreviousPage 191 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS