CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
System Binder akceptuje niezweryfikowane polecenia AT, co pozwala lokalnym aplikacjom na odczyt plików bazowych lub wyłączenie łączności komórkowej.
W systemie Supermicro BMC SMTP w modelu AS-2115HS-TNR występuje podatność, która pozwala atakującemu uzyskać uprawnienia administratora oraz wstrzyknąć specjalnie przygotowane znaki do konfiguracji usługi SMTP. Może to prowadzić do wykonania niezamierzonych poleceń podczas wywoływania procesów.
Pliki dziennika systemowego wyprowadzają niezaszyfrowane hasła do uwierzytelniania serwera SMTP obok wrażliwych danych identyfikacyjnych pracowników. To może prowadzić do ujawnienia poufnych informacji.
Krytyczne punkty końcowe API zarządzania dla alokacji eSIM komórkowych nie weryfikują autoryzacji wywołującego, co pozwala na zdalne przepisanie lub usunięcie profili.
Archiwa wewnętrznych sesji multimedialnych są dostępne bez uwierzytelnienia, co jest zaostrzone przez luźne zasady Cross-Origin Resource Sharing (CORS), które umożliwiają kradzież danych między witrynami.
Procedura debugowania SCREEN_CLICK(5053) umożliwia pominięcie standardowego monitora logowania urządzenia i bezpośrednie wejście do interaktywnego interfejsu powłoki.
Zbyt liberalne ustawienia konfiguracyjne w kontenerach pamięci w chmurze ujawniają aktywne informacje telemetryczne publicznie w Internecie.
System nie ocenia uprawnień instrukcyjnych dla wielu wewnętrznych kodów operacyjnych (opcode), co pozwala na nieautoryzowane instalacje aplikacji lub wykonywanie poleceń.
Brak kontroli nad publicznymi uprawnieniami dostępu w podstawowym odbiorniku transmisji pozwala nieautoryzowanym lokalnym komponentom oprogramowania na wywoływanie operacji administracyjnych.
Pliki zasobów APK z twardo zakodowanymi danymi nigdy nie wygasają, co prowadzi do wycieków informacji oraz potencjalnego nadużycia. Wspólny dostęp do tych zasobów zwiększa ryzyko ich niewłaściwego wykorzystania.
Podatność CVE-2026-41010 dotyczy BOSH Director, gdzie nazwa zadania jest pobierana z złośliwego pliku release.MF i używana do tworzenia ścieżek do katalogów. W wyniku tego, złośliwe znaki metakarakterów powłoki mogą być interpretowane, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu.
In HTML::Entities for Perl versions before 3.84, a vulnerability exists where freed heap memory is read in the _decode_entities function. The issue arises from caching a pointer to an entity value SV, which becomes a dangling pointer after the SV buffer is reallocated.
Podatność CVE-2026-41860 w BOSH umożliwia lokalnemu atakującemu kradzież poświadczeń Basic-auth lub przekierowanie żądań tokenów UAA za pomocą ataku typu MITM. Metody HttpRequestHelper#create_async_endpoint i #send_http_get_request_synchronous mają na stałe ustawioną weryfikację SSL na OpenSSL::SSL::VERIFY_NONE, co pozwala atakującemu na przechwycenie ruchu.
Podatność CVE-2026-41859 pozwala atakującemu na przechwycenie poświadczeń dyrektora BOSH oraz manipulację listą maszyn wirtualnych. Problem wynika z braku weryfikacji certyfikatów SSL w kliencie HTTP, co umożliwia atak typu man-in-the-middle.
W systemie BOSH-Ecosystem / windows-utilities-release występuje słaba losowość oraz niebezpieczny element kryptograficzny w funkcji Get-RandomPassword. Atakujący sieciowy może oszacować czas uruchamiania maszyny wirtualnej i odtworzyć małą listę kandydatów, aby odzyskać hasło Administratora.
Podatność CVE-2026-41011 dotyczy sposobu, w jaki pakiet PackagePersister.validate_tgz buduje polecenie do wykonania w powłoce, wykorzystując nazwę pakietu bez odpowiedniego zabezpieczenia. W wyniku tego atakujący może wstrzyknąć złośliwy kod do polecenia, co prowadzi do potencjalnego wykonania nieautoryzowanych działań na serwerze.
Wtyczka SP Project & Document Manager dla WordPressa jest podatna na nieautoryzowany dostęp z powodu braku sprawdzenia uprawnień w funkcji view_file we wszystkich wersjach do 4.71 włącznie. Umożliwia to nieautoryzowanym atakującym odczyt metadanych plików oraz uzyskanie linków do pobrania dowolnych plików przechowywanych w folderach projektów na serwerze.
Zidentyfikowano podatność w systemie zarządzania studentami ealpha072 do wersji 01451bd7a2f58cdda07bd0b86e3967582e3ecd08. Problem dotyczy nieznanej funkcjonalności pliku admin/config.php w komponencie administracyjnym, co prowadzi do niewłaściwej autoryzacji.
The vulnerability in Active IQ OneCollect 2.7.3 is due to hard-coded credentials, allowing an authenticated attacker with low privileges to perform unauthorized AutoSupport operations.
The vulnerability in Active IQ Config Advisor 6.7.3 stems from hard-coded credentials, allowing an authenticated attacker with low privileges to perform unauthorized AutoSupport operations.

