CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-1951
Critical

Delta Electronics AS320T does not check the length of the buffer with the directory name, leading to potential security issues.

CVE-2026-1950
Critical

Delta Electronics AS320T has a vulnerability related to the lack of checking the length of the buffer with the file name.

CVE-2026-1949
Critical

Delta Electronics AS320T has incorrect calculation of the buffer size on the stack in the GET/PUT request handler of the web service.

CVE-2026-33078
Critical

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. Wersje przed 8.2.6.4 zawierają podatność na wstrzykiwanie SQL w funkcji haproxy_section_save, gdzie parametr server_ip jest przekazywany niesanitarnie do zapytania SQL.

CVE-2026-33076
Critical

Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach przed 8.2.6.4 interfejs haproxy_section_save zawierał podatność, która mogła prowadzić do zdalnego wykonania kodu z powodu przejścia przez ścieżkę i zapisywania w zadaniach zaplanowanych.

CVE-2026-40630
Critical

Podatność w interfejsie zarządzania siecią SenseLive X3050 umożliwia nieautoryzowany dostęp do niektórych punktów konfiguracyjnych z powodu niewłaściwego egzekwowania kontroli dostępu. Atakujący z dostępem do sieci urządzenia może obejść zamierzony mechanizm uwierzytelniania i bezpośrednio interagować z wrażliwymi funkcjami konfiguracyjnymi.

CVE-2026-40620
Critical

Podatność w wbudowanej usłudze zarządzania SenseLive X3050 umożliwia uzyskanie pełnej kontroli administracyjnej bez jakiejkolwiek formy uwierzytelnienia lub autoryzacji w aplikacji konfiguracyjnej SenseLive. Usługa akceptuje połączenia zarządzające z dowolnego dostępnego hosta, co pozwala na nieograniczoną modyfikację krytycznych parametrów konfiguracyjnych, trybów operacyjnych i stanu urządzenia za pomocą dostarczonego przez producenta lub kompatybilnego klienta.

CVE-2026-35503
Critical

Podatność w interfejsie zarządzania siecią SenseLive X3050 pozwala na przeprowadzenie logiki uwierzytelniania całkowicie po stronie klienta, opierając się na zakodowanych wartościach w skryptach wykonywanych w przeglądarce, zamiast na weryfikacji po stronie serwera. Atakujący mający dostęp do strony logowania może uzyskać te ujawnione parametry i zdobyć nieautoryzowany dostęp do funkcji administracyjnych.

CVE-2026-27843
Critical

W interfejsie zarządzania siecią SenseLive X3050 występuje podatność, która pozwala na modyfikację krytycznych parametrów konfiguracyjnych bez odpowiedniej autoryzacji lub walidacji po stronie serwera. Atakujący może wprowadzić nieobsługiwane wartości, co prowadzi do trwałego zablokowania urządzenia.

CVE-2026-25775
Critical

A vulnerability in SenseLive X3050’s remote management service allows firmware retrieval and update operations to be performed without authentication or authorization. The service accepts firmware-related requests from any reachable host and does not verify user privileges or the integrity of uploaded images.

CVE-2026-41274
Critical

Flowise prior to version 3.1.0 has a vulnerability in the GraphCypherQAChain node that forwards user-provided input without proper sanitization. This allows an attacker to inject arbitrary Cypher commands that are executed on the Neo4j database.

CVE-2026-35431
Critical

W Microsoft Entra ID Entitlement Management występuje podatność typu server-side request forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na przeprowadzenie spoofingu w sieci.

CVE-2026-33819
Critical

Deserialization of untrusted data in Microsoft Bing allows an unauthorized attacker to execute code over a network.

CVE-2026-33102
Critical

W M365 Copilot występuje podatność na przekierowanie URL do nieufnej strony ('open redirect'), co pozwala nieautoryzowanemu atakującemu na podniesienie uprawnień w sieci.

CVE-2026-32210
Critical

A server-side request forgery (SSRF) vulnerability in Microsoft Dynamics 365 (Online) allows an unauthorized attacker to perform spoofing over a network.

CVE-2026-26210
Critical

KTransformers versions up to 0.5.3 contain an unsafe deserialization vulnerability in the balance_serve backend mode. The scheduler RPC server binds a ZMQ ROUTER socket to all interfaces without authentication and deserializes incoming messages using pickle.loads() without validation.

CVE-2026-24303
Critical

Nieprawidłowa kontrola dostępu w Microsoft Partner Center umożliwia autoryzowanemu atakującemu podniesienie uprawnień w sieci.

CVE-2026-6942
Critical

Wersja 1.6.0 i wcześniejsze radare2-mcp zawierają podatność na wstrzykiwanie poleceń systemowych, która pozwala zdalnym atakującym na wykonywanie dowolnych poleceń poprzez obejście filtra poleceń za pomocą metaznaków powłoki w danych wejściowych kontrolowanych przez użytkownika przekazywanych do r2_cmd_str().

CVE-2026-41276
Critical

Flowise to interfejs użytkownika typu drag & drop do budowania dostosowanych przepływów dużych modeli językowych. Przed wersją 3.1.0, ta podatność pozwala zdalnym atakującym na ominięcie uwierzytelnienia w dotkniętych instalacjach FlowiseAI Flowise, co umożliwia resetowanie haseł bez wymaganego uwierzytelnienia.

CVE-2026-41268
Critical

Flowise, interfejs użytkownika do budowy dostosowanych modeli językowych, przed wersją 3.1.0 ma krytyczną podatność na zdalne wykonanie poleceń (RCE) bez uwierzytelnienia. Można ją wykorzystać poprzez obejście nadpisania parametrów z użyciem słowa kluczowego FILE-STORAGE:: oraz wstrzyknięcia zmiennej środowiskowej NODE_OPTIONS.

PreviousPage 95 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS