CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-33553
Medium

CFEngine Enterprise w wersjach 3.24.3 przed 3.24.4 oraz 3.27.0 przed 3.27.1 zawiera podatność na ataki XSS (Cross-Site Scripting). Umożliwia to atakującym wstrzykiwanie złośliwego kodu JavaScript do aplikacji.

CVE-2026-30586
Medium

Podatność typu Cross Site Scripting w aplikacji usememos Memos w wersji 0.26.0 umożliwia zdalnemu atakującemu uzyskanie wrażliwych informacji poprzez strony SANITIZE_SCHEMA, komponent renderowania notatek oraz widok notatek publicznych/prywatnych.

CVE-2026-10616
Medium

Zidentyfikowano słabość w nextlevelbuilder GoClaw do wersji 3.11.3. Problem dotyczy funkcji TeamTasksTool.executeComplete w pliku internal/tools/team_tasks_lifecycle.go, co może prowadzić do braku autoryzacji podczas manipulacji.

CVE-2026-10584
Medium

Serwer proxy w Graph Explorer przed wersją 3.0.1 przechodzi na HTTP, gdy brakuje plików certyfikatów, co może umożliwić zdalnym atakującym uzyskanie poufnych informacji poprzez przechwytywanie żądań, które miały być wysyłane przez HTTPS.

CVE-2021-4479
Medium

Dräger Atlan A350 versions 1.00 up to and including 1.01 contains an improper input handling vulnerability that allows attackers to cause a denial of service by sending specifically crafted non-Medibus-compliant data through the Medibus interface. Attackers can transmit malformed data to overload the internal processor.

CVE-2019-25724
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.

CVE-2019-25723
Medium

Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.

CVE-2019-25721
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.

CVE-2026-49943
Medium

W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.

CVE-2026-42073
Medium

OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.

CVE-2026-40713
Medium

Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

CVE-2026-40571
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.

CVE-2026-40314
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności zablokowanych/profilów prywatnych. Wersja 2.2.5 naprawia ten problem.

CVE-2026-35447
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 strona profilu (modules/Core/pages/profile.php) przetwarza zgłoszenia postów na ścianie i odpowiedzi przed weryfikacją, czy użytkownik ma uprawnienia do dostępu do profilu, co pozwala na publikowanie postów na prywatnych profilach przez użytkowników z uprawnieniem profile.post.

CVE-2026-35443
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.

CVE-2026-33244
Medium

React Router w wersjach od 7.5.1 do 7.13.1 ma lukę, która pozwala na Cross-Site Scripting (XSS) w statycznie generowanych plikach HTML, gdy używany jest tryb Framework z włączonym pre-renderingiem i nieodpowiednio zneutralizowaną wartością nagłówka HTTP `Location`. Problem ten nie dotyczy aplikacji korzystających z trybu Deklaratywnego lub trybu Danych.

CVE-2026-1871
Medium

TP-Link Tapo C200 v5 zawiera lukę typu przepełnienie bufora na stosie w obsłudze uwierzytelniania RTSP, spowodowaną niewłaściwą walidacją długości pól nagłówka Authorization. Można ją wywołać za pomocą spreparowanego żądania uwierzytelniającego.

CVE-2026-9590
Medium

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w komponencie walidacji uprawnień, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edytowania wpisów na modyfikację informacji o zasobach bez wymaganych uprawnień.

CVE-2026-9522
Medium

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w funkcji odkrywania kont PAM, co pozwala uwierzytelnionemu użytkownikowi bez uprawnień administracyjnych na usunięcie konfiguracji skanowania odkrywania sieci.

CVE-2026-7299
Medium

Funkcjonalność autouzupełniania edytora zapytań SQL w Appsmith nie sanitizuje nazw obiektów bazy danych przed ich renderowaniem w innerHTML. Umożliwia to uwierzytelnionemu deweloperowi wstrzyknięcie trwałego XSS za pomocą złośliwych nazw tabel lub kolumn, co prowadzi do wykonania dowolnego kodu w sesjach innych członków workspace'u, gdy wchodzą w interakcję z tym samym źródłem danych.

PreviousPage 193 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS