CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-32996
High

Ta podatność w Veeam Agent dla systemu Microsoft Windows umożliwia lokalne podniesienie uprawnień.

CVE-2026-32995
High

Metoda autoTranslate.translateMessage w Rocket.Chat w wersjach <8.5.0, <8.4.2, <8.3.4, <8.2.4, <8.1.5, <8.0.5, <7.13.8 i <7.10.12 akceptuje obiekt IMessage dostarczony przez klienta i przekazuje go bezpośrednio do translateMessage() bez sprawdzania Meteor.userId() ani weryfikacji członkostwa w pokoju. Każdy uwierzytelniony użytkownik DDP może odczytać treść dowolnej wiadomości po ID z dowolnego pokoju.

CVE-2026-2374
High

The Login No Captcha reCAPTCHA plugin for WordPress is vulnerable to Stored Cross-Site Scripting (XSS) in versions up to 1.8.0. The issue arises from the `authenticate()` function storing unsanitized data in the `login_nocaptcha_error` option during login attempts from a non-standard login page.

CVE-2026-9789
High

A Local Privilege Escalation (LPE) vulnerability affects Acer NitroSense software versions prior to 3.01.3052. The vulnerability stems from the PSAdminAgent service, which creates a Named Pipe with a weak Access Control List (ACL).

CVE-2026-8915
High

Podatność typu out-of-bounds write w Samsung Open Source Escargot umożliwia przepełnienie buforów. Problem dotyczy wersji Escargot: 36f5fb58366a67b713c02f6fd985e924fcc09e31.

CVE-2026-46414
High

Framework Microsoft UFO w wersji 3.0.1-4-ge2626659 ma problem z zaufaniem do pól tożsamości i roli dostarczanych przez klienta w wiadomościach zadań. Klient może zarejestrować się jako normalne urządzenie, a następnie wysłać wiadomość TASK, podszywając się pod wyższą rolę 'constellation', co prowadzi do przejęcia zadań przez atakującego.

CVE-2026-46402
High

Framework open-source Microsoft UFO do inteligentnej automatyzacji na różnych urządzeniach i platformach w wersji 3.0.1-4-ge2626659 wykorzystuje wartość task_name kontrolowaną przez użytkownika bezpośrednio przy tworzeniu ścieżek logów sesji. Uwierzytelniony klient może dostarczyć sekwencje przejścia ścieżki w task_name, co pozwala na tworzenie katalogów logów i plików logów poza zamierzonym katalogiem logs/.

CVE-2026-45322
High

The Microsoft UFO framework contains an OS command injection vulnerability in the shell action replay path. In versions up to v3.0.0, the ShellReceiver.run_shell() method passes a command string directly to subprocess.Popen() with shell=True, allowing for the execution of malicious code.

CVE-2026-9208
High

Tanium naprawił podatność na nieautoryzowane wykonanie kodu w Connect.

CVE-2026-45152
High

W uniget, uniwersalnym instalatorze i aktualizatorze narzędzi, przed wersją 0.27.1 występuje podatność na wstrzykiwanie poleceń z powodu niebezpiecznego wykonania pola check z plików metadanych przy użyciu /bin/bash -c. Atakujący może stworzyć złośliwe metadane, które wykonują dowolne polecenia powłoki na systemie ofiary.

CVE-2026-47269
High

In versions prior to 0.9.0, the deny_remote feature in pam_usb incorrectly checked whether an authentication request originated from a remote session, allowing security bypass. An attacker with physical access to a registered USB device could authenticate over SSH as if they were locally connected.

CVE-2026-45137
High

W frameworku Anchor, od wersji 1.0.0 do przed 1.0.2, występuje błąd logiczny, który pozwala programom na akceptowanie dowolnego identyfikatora programu zamiast wymaganego identyfikatora systemowego. To prowadzi do fałszywych założeń, co może skutkować potencjalnym arbitralnym wywołaniem CPI w programach, które wywołują instrukcje programu systemowego.

CVE-2026-45136
High

Podatność w claude-code-cache-fix występuje w wersjach od 3.5.0 do przed 3.5.2, gdzie skrypt tools/quota-statusline.sh interpoluje dane wejściowe użytkownika bezpośrednio do literału łańcucha w Pythonie. Wprowadzenie sekwencji bajtów ''' w dowolnym polu kontrolowanym przez użytkownika może zakończyć literał przedwcześnie, co pozwala na wykonanie kolejnych bajtów jako kodu Pythona w procesie Claude Code użytkownika.

CVE-2026-44713
High

In versions prior to 0.8.7, pam_usb reads the user's $TMUX environment variable and interpolates its value without proper sanitization, allowing arbitrary shell syntax injection. This creates a risk of unauthorized command execution as root.

CVE-2026-44712
High

pam_usb prior to version 0.8.7 allows remote code execution (RCE) as root through a crafted UUID in the configuration. Running pamusb-conf --reset-pads with such a UUID leads to exploitation of the vulnerability.

CVE-2026-44711
High

pam_usb prior to version 0.8.7 is vulnerable to symlink attacks that allow authentication bypass and root file corruption. Version 0.8.7 includes a fix for this vulnerability.

CVE-2026-44709
High

pam_usb zapewnia uwierzytelnianie sprzętowe dla systemu Linux przy użyciu zwykłych nośników wymiennych. W wersjach przed 0.8.7, pamusb-pinentry odczytuje zmienną środowiskową PINENTRY_FALLBACK_APP i wykonuje ją bez żadnej walidacji, co pozwala na uruchomienie dowolnego binarnego pliku lub skryptu.

CVE-2026-44660
High

UltraJSON to szybki enkoder i dekoder JSON napisany w czystym C z powiązaniami dla Pythona 3.7+. Przed wersją 5.12.1, gdy ujson.dump() zapisuje do obiektu podobnego do pliku i operacja zapisu zgłasza wyjątek, obiekt ciągu JSON nie jest dekrementowany, co prowadzi do wycieku pamięci.

CVE-2026-8361
High

W WOSDefaultHttpModule.dll występuje podatność na traversję ścieżki, która pojawia się podczas przetwarzania ścieżki URL zaczynającej się od /woshome.

CVE-2026-8360
High

Funkcje wywołujące WOSCommonUtil.dll!WOSSysInfoGetDeviceInterface() w różnych bibliotekach DLL (np. WOSProfileMgrModule.dll, WOSWebDavModule.dll) mogą zwracać wskaźnik NULL, gdy żaden użytkownik nie jest zalogowany do konsoli zarządzania Triofox Server Agent. Wskaźnik NULL nie jest sprawdzany przed jego dereferencją.

PreviousPage 299 of 3430Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS