CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-49753
Medium

Podatność CVE-2026-49753 dotyczy niekonsekwentnej interpretacji żądań HTTP w elixir-mint, co pozwala atakującym na desynchronizację ramki odpowiedzi na współdzielonych połączeniach. Parser Content-Length w Mint akceptuje wartości z prefiksem + lub -, co jest niezgodne z RFC 7230.

CVE-2026-45684
Medium

OpenTelemetry eBPF Instrumentation w wersjach od 0.7.0 do przed 0.9.0 ma problem z niewłaściwym przetwarzaniem buforów writev przez log enricher OBI, który odczytuje tylko pierwszy wpis iovec, ale używa całkowitej długości iov_iter.count jako długości kopiowania. W przypadku włączonego wstrzykiwania logów, złośliwe wywołanie writev może spowodować odczyt i nadpisanie pamięci poza pierwszym segmentem.

CVE-2026-45682
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał problem z CappedConcurrentHashMap, który nie usuwał kluczy z kolejki przy wstawianiu, gdy wpisy były usuwane. W długoterminowych uruchomieniach JVM może to prowadzić do nieograniczonego wzrostu kolejki i wyczerpania pamięci sterty.

CVE-2026-45681
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 używa 256-bajtowego bufora zapasowego, ale zachowuje oryginalny rozmiar ładunku, który może wynosić do 8KB. W przypadku niezgodności CPU, OBI może odczytać dane poza buforem zapasowym, co prowadzi do wycieku pamięci sąsiedniej do telemetrii.

CVE-2026-45680
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 miało problem z wydajnością, gdzie OBI odtwarzało trafienia probe BPF w obserwacjach histogramu, co prowadziło do nadmiernego obciążenia CPU na zajętych systemach. Problem ten został naprawiony w wersji 0.9.0.

CVE-2026-45679
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 eksportuje surowe komunikaty o błędach Redis jako wiadomości statusu span. Może to prowadzić do wycieku tokenów, danych osobowych lub innych poufnych informacji do systemów telemetrycznych.

CVE-2026-45676
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser ELF, który ufał wskaźnikom sekcji oraz przesunięciom w plikach wykonywalnych. Złośliwie skonstruowany lokalny plik ELF mógł spowodować dereferencję nieprawidłowych wskaźników sekcji, co prowadziło do paniki agenta podczas określania języka procesu.

CVE-2026-45554
Medium

NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, dwa endpointy FastAPI obsługujące statyczne zasoby per-komponentowe akceptują parametr sub-ścieżki, który może prowadzić do katalogu zamiast pliku, co skutkuje nieobsłużonym błędem RuntimeError.

CVE-2026-45080
Medium

Klaw to narzędzie do zarządzania i nadzorowania tematów Apache Kafka. W wersjach przed 2.10.4 występował problem z niewłaściwą kontrolą dostępu, który umożliwiał ujawnienie hasha hasła. Problem ten został naprawiony w wersji 2.10.4.

CVE-2026-38978
Medium

W wersji 4.1.1 oprogramowania Transmission zidentyfikowano podatność typu clickjacking w interfejsie WebUI oraz w ścieżkach odpowiedzi RPC. Atakujący może wykorzystać tę lukę do oszukania użytkowników i zmuszenia ich do wykonania niezamierzonych działań.

CVE-2026-35718
Medium

A path traversal vulnerability in the /admin/downloadMedias.cgi endpoint of VIVOTEK INC FD8136-VVTK firmware 0300a allows authenticated attackers to read any file on the device via sending a crafted request.

CVE-2026-35716
Medium

A stack-based buffer overflow in the motion_privacy.cgi binary of VIVOTEK FD8136 firmware FD8136-VVTK-0300a allows an authenticated remote attacker to execute arbitrary code as root by sending a POST request with an oversized n1 parameter to one of three endpoints.

CVE-2026-34460
Medium

NamelessMC to oprogramowanie do tworzenia stron internetowych dla serwerów Minecraft. W wersjach 2.2.4 i wcześniejszych obsługa callbacków OAuth nie weryfikuje parametru state po stronie serwera przed wymianą kodu autoryzacyjnego, co umożliwia atakującemu przechwycenie ważnego URL callbacka OAuth dla własnego konta.

CVE-2026-49782
Medium

Podatność związana z brakiem autoryzacji w Elementor Website Builder umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Dotyczy to wersji od n/a do 4.1.0.

CVE-2026-43965
Medium

Podatność typu path traversal w zarządzaniu zależnościami Gleam pozwala na usunięcie dowolnego katalogu poprzez złośliwą zawartość pliku build/packages/packages.toml. Klucze pakietów odczytywane z tego pliku są przekazywane bez walidacji, co umożliwia atakującemu manipulację ścieżkami systemowymi.

CVE-2026-42795
Medium

Podatność związana z podążaniem za symlinkami w eksporcie pakietu Hex w Gleam umożliwia osadzenie plików spoza katalogu projektu w wygenerowanym archiwum tarball. Funkcje zbierające pliki nie weryfikują, czy docelowa ścieżka pozostaje w obrębie katalogu projektu, co pozwala na osadzenie zawartości symlinków.

CVE-2026-41918
Medium

Zidentyfikowano podatność w RUGGEDCOM RST2428P (6GK6242-6PA00) we wszystkich wersjach poniżej V4.0. Aplikacje dotknięte tą podatnością przechowują w pamięci podręcznej przeglądarki wrażliwe informacje, gdy uwierzytelniony użytkownik modyfikuje określone konfiguracje.

CVE-2026-35717
Medium

A stack-based buffer overflow in the export_language.cgi binary of VIVOTEK FD8136 firmware FD8136-VVTK-0300a allows authenticated remote attackers to execute arbitrary code as root via a crafted POST request to the /cgi-bin/admin/export_language.cgi endpoint. The handler passes the attacker-controlled Content-Length value directly to fread() as the read size into a fixed-size 0x60-byte stack buffer, overwriting the saved link register.

CVE-2026-32685
Medium

Podatność typu path traversal w obsłudze niestandardowych stron dokumentacji w Gleam pozwala na odczyt i zapis plików poza zamierzonym katalogiem wyjściowym dokumentacji. Wprowadzenie wpisów z gleam.toml do ścieżek systemowych nie jest wystarczająco walidowane, co umożliwia atakującym manipulację plikami.

CVE-2026-32250
Medium

W oprogramowaniu NamelessMC dla serwerów Minecraft odkryto podatność typu Reflected Cross-Site Scripting (XSS) w wersji 2.2.4, dotyczącą parametru id w punkcie końcowym `/index.php?route=/queries/user/`. Aplikacja odzwierciedla dane wejściowe użytkownika z parametru id w odpowiedzi HTML bez odpowiedniej sanitizacji lub kodowania wyjścia.

PreviousPage 194 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS