CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Podatność CVE-2026-42678 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych, co prowadzi do ataków typu Cross-site Scripting (XSS) w aplikacji GiveWP. Problem ten występuje w wersjach od n/a do 4.14.5.
W WP Document Revisions występuje luka związana z brakiem autoryzacji, która pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji przed 4.0.0.
Brak autoryzacji w Themefic Hydra Booking umożliwia wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem ten dotyczy wersji Hydra Booking od n/a do 1.1.41.
Podatność CVE-2026-42674 dotyczy wtyczki AAM (Advanced Access Manager) i pozwala na ominięcie uwierzytelniania poprzez fałszowanie, co umożliwia kodowanie URL. Problem ten dotyczy wersji wtyczki od n/a do 7.1.0.
Podatność CVE-2026-42673 dotyczy Logów Aktywności w Logtivity, umożliwiając wstrzyknięcie wrażliwych informacji do wysyłanych danych. Problem ten występuje w wersjach od n/a do 3.3.6.
W ESA AnomalyMatch przed wersją 1.3.1 występuje problem, który pozwala atakującym na wykonanie dowolnego kodu poprzez spreparowane pliki punktów kontrolnych modeli. Affected components ładują pliki modeli z katalogów sesji przy użyciu torch.load() bez ograniczeń w deserializacji.
FlexRIC w wersji 2.0.0 zawiera osiągalne wywołania assert(0) w obsłudze wiadomości stub dla dozwolonych, ale niezaimplementowanych typów wiadomości E2AP w near-RT RIC. Zdalny, nieautoryzowany atakujący może wysłać dekodowalny E2AP PDU takiego typu (np. E2nodeConfigurationUpdate), co prowadzi do awarii procesu near-RT RIC (port 36421) poprzez SIGABRT.
FlexRIC w wersji 2.0.0 ulega awarii, gdy iApp otrzymuje żądanie E42_RIC_SUBSCRIPTION_REQUEST z pustym polem ricEventTriggerDefinition. Dekoder warstwy E42 akceptuje to jako ważne, jednak enkoder E2AP wymusza, aby to pole nie było puste, co prowadzi do awarii.
FlexRIC w wersji 2.0.0 ulega awarii po otrzymaniu duplikatu E2_SETUP_REQUEST od tego samego lub sfałszowanego węzła E2. Rejestr iApp wymusza unikalność identyfikatora węzła za pomocą assert(), co prowadzi do awarii zamiast do odrzucenia żądania.
FlexRIC w wersji 2.0.0 zawiera osiągalne asercje w dispatcherze wiadomości iApp. Dispatcher waliduje przychodzące wiadomości E2AP w oparciu o 9-pozycyjną białą listę, co pozwala zdalnemu, nieautoryzowanemu atakującemu na wysłanie dowolnego dekodowalnego E2AP PDU, co może spowodować awarię procesu iApp.
FlexRIC w wersji 2.0.0 wykorzystuje zakodowane na sztywno asercje do walidacji liczby elementów informacji (IE) w dekodowanych wiadomościach E2AP. Zdalny, nieautoryzowany atakujący może wysłać ważny PDU E2AP z nieoczekiwaną liczbą IE, co może spowodować awarię near-RT RIC lub iApp.
W php-censor w wersjach do 2.1.6 odkryto podatność, która dotyczy nieznanej funkcji w pliku src/Model/Build/GitBuild.php komponentu Webhook Endpoint. Manipulacja argumentem commitId prowadzi do wstrzyknięcia poleceń systemowych.
Wykryto podatność w urządzeniu D-Link DI-7001 MINI do wersji 19.09.19A1, która dotyczy funkcji sprintf w pliku /httpd_debug.asp komponentu API. Manipulacja argumentem Time prowadzi do przepełnienia bufora na stosie.
An integer overflow vulnerability was found in Poppler's Splash backend in the `tilingPatternFill` function. A remote attacker can exploit a crafted PDF file, leading to undersized heap allocation and subsequent out-of-bounds write.
Tychon zawiera komponent OpenSSL, który określa zmienną OPENSSLDIR jako podkatalog, który może być kontrolowany przez użytkownika bez uprawnień na systemie Windows. Usługa z uprawnieniami w Tychon wykorzystuje ten komponent OpenSSL, co może prowadzić do wykonania dowolnego kodu z uprawnieniami SYSTEM.
W podatności CVE-2026-48865 wtyczki LearnPress występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych, co prowadzi do ataków typu Cross-site Scripting (XSS). Problem ten dotyczy wersji LearnPress od n/a do 4.3.6.
Podatność CVE-2026-48839 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w WP Statistics, co prowadzi do ataków typu Cross-site Scripting (XSS) opartych na DOM. Problem ten dotyczy wersji WP Statistics od n/a do 14.16.6.
Podatność CVE-2026-42683 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w silniku rezerwacji hotelowych VikBooking, co umożliwia ataki typu DOM-Based XSS.
Podatność CVE-2026-42681 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w E2Pdf.Com, co prowadzi do podatności na ataki typu Cross-site Scripting (XSS). Problem ten dotyczy wersji e2pdf od n/a do 1.32.14.
W aplikacji KS-SOMED występuje podatność związana z użyciem zakodowanych na stałe poświadczeń, co umożliwia nieautoryzowanemu atakującemu dostęp do serwera FTP, na którym znajdują się pakiety aktualizacji aplikacji. Atakujący, posiadając te poświadczenia, mógłby przesłać złośliwy plik aktualizacji, który mógłby zostać rozpowszechniony i zainstalowany na maszynach klienckich jako legalna aktualizacja.

