CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W systemie firmware PlayStation 4 w wersjach od 13.00 do 13.02 występuje podatność na eskalację uprawnień. Można ją wykorzystać poprzez złośliwy plik JAR, który pozwala na ucieczkę z piaskownicy BD-J (Blu-ray Disc Java).
Dräger CC-Vision Basic przed wersją 7.5.3 oraz Dräger CC-Vision E-Cal przed wersją 7.2.5.0 zawierają podatność na zapis poza granicami podczas ładowania plików .gdt. Odpowiednio przygotowany plik .gdt może spowodować przepełnienie bufora podczas analizy pliku, co pozwala atakującemu na awarię aplikacji lub wykonanie złośliwego kodu w systemie.
Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają twardo zakodowane hasła w postaci niezaszyfrowanej w kodzie źródłowym oraz podatność na atak typu denial-of-service. Atakujący lokalny może wykorzystać te hasła do uzyskania dostępu do kont serwisowych i klinicznych oraz zmiany konfiguracji urządzenia, natomiast atakujący zdalny może wysyłać źle sformatowane pakiety sieciowe, co prowadzi do wielokrotnych restartów urządzenia.
Dell ThinOS 10, w wersjach przed ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Atakujący z niskimi uprawnieniami, mający lokalny dostęp, może potencjalnie wykorzystać tę podatność do eskalacji uprawnień.
NVIDIA NVTabular zawiera podatność, która pozwala atakującemu na niewłaściwą deserializację nieufnych danych. Udany atak może prowadzić do wykonania kodu, manipulacji danymi oraz ujawnienia informacji.
NVTabular firmy NVIDIA zawiera podatność, która pozwala atakującemu na niewłaściwą deserializację nieufnych danych. Udane wykorzystanie tej podatności może prowadzić do wykonania kodu, manipulacji danymi oraz ujawnienia informacji.
W DedeCMS w wersji 5.7.88 zidentyfikowano podatność w funkcji TrimMsg w pliku /plus/feedback.php komponentu Feedback Handler. Manipulacja argumentem msg może prowadzić do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Podatność w elixir-mint Mint pozwala atakującym kontrolować serwery HTTP/2, które mogą wyczerpać pamięć w kliencie Mint poprzez flood CONTINUATION. Brak limitów na rozmiar akumulatora w ścieżce odbioru powoduje, że nieprzetworzone fragmenty nagłówków mogą rosnąć do dowolnych rozmiarów.
Podatność w elixir-mint Mint pozwala atakującym kontrolować serwery HTTP/2, które mogą wyczerpać pamięć w kliencie Mint poprzez zalewanie go ramkami PUSH_PROMISE. Problem wynika z braku ograniczeń przy alokacji zasobów, co pozwala na dodawanie nieograniczonej liczby obiecanych identyfikatorów strumieni.
OpenTelemetry eBPF Instrumentation zawiera podatność na przepełnienie całkowitej liczby w parserze protokołu tekstowego memcached OBI, która występuje w wersjach od 0.7.0 do przed 0.9.0. W wyniku tej podatności, złośliwe żądanie może spowodować awarię procesu OBI i prowadzić do odmowy usługi.
OpenTelemetry eBPF Instrumentation w wersjach od 0.1.0 do przed 0.9.0 jest podatny na błędnie sformatowane wiadomości MongoDB, które mogą wywołać nieobsługiwane paniki w parserze TCP MongoDB. To pozwala zdalnemu, nieautoryzowanemu atakującemu na awarię agenta telemetrycznego i spowodowanie odmowy usługi.
OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał parser protokołu Postgres, który zakładał, że ładunki wiadomości BIND zawierają prawidłową nazwę portalu zakończoną NUL. Opracowany pusty lub nieukończony ładunek może spowodować, że OBI przekroczy koniec bufora i spowoduje panikę.
NiceGUI to framework UI oparty na Pythonie. W wersjach przed 3.12.0, funkcja ui.restructured_text() renderuje reStructuredText po stronie serwera z użyciem Docutils, nie wyłączając dyrektyw wstawiania plików, co pozwala atakującym na odczyt lokalnych plików.
Podatność CVE-2026-42654 w systemie portfela WP Swings dla WooCommerce umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał, co pozwala na wykorzystanie funkcji odzyskiwania hasła.
Podatność CVE-2026-40780 dotyczy systemu Liquid Web / StellarWP BookIt i pozwala na obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał, co umożliwia wykorzystanie funkcji odzyskiwania hasła. Problem ten dotyczy wersji BookIt przed 2.5.4.1.
Zidentyfikowano poważną podatność w instalacjach głównego serwera Security Center, która może umożliwić atakującemu z lokalnymi uprawnieniami OS dostęp do poświadczeń administratora serwera. Problem został wykryty przez zewnętrzną firmę zatrudnioną przez Genetec.
NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, skrypt `get_quotes.php` sprawdza jedynie, czy użytkownik jest zalogowany, a następnie odczytuje post na podstawie ID kontrolowanego przez atakującego, nie egzekwując odpowiednich uprawnień dostępu do forum lub tematu.
A remote buffer overflow vulnerability exists in the /cgi-bin/dido/setdo.cgi endpoint of the admin interface of Vivotek FD8136 cameras running firmware version FD8136-VVTK-0300a. This flaw allows an authenticated attacker to execute arbitrary code as root on the device.
A post-authentication remote buffer overflow vulnerability exists in the /cgi-bin/admin/eventtask.cgi endpoint of the admin interface of Vivotek FD8136 cameras running firmware version FD8136-VVTK-0300a. This flaw allows an authenticated attacker to execute arbitrary code as root on the device remotely.
A buffer overflow vulnerability in VIVOTEK FD8136-VVTK-0300a camera allows a remote attacker to execute arbitrary code via the set_getparam.cgi component.

