CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.07)
W jądrze Linuxa rozwiązano podatność związaną z podwójnym zwolnieniem pamięci w funkcji smbd_free_send_io() po wywołaniu smbd_send_batch_flush(). Problem wynikał z niepoprawnego ponownego wywołania smbd_free_send_io() po przeniesieniu do listy wsadowej.
W jądrze Linuxa rozwiązano podatność związaną z podwójnym zwolnieniem pamięci w funkcji smb_direct_free_sendmsg po wywołaniu smb_direct_flush_send_list(). Problem polegał na tym, że smb_direct_flush_send_list() już wywołuje smb_direct_free_sendmsg(), co prowadziło do nieprawidłowego zarządzania pamięcią.
In the Linux kernel USB/IP subsystem, a vulnerability exists due to missing validation of the number_of_packets field in the RET_SUBMIT response. A malicious USB/IP server can set this value larger than the original, causing a heap out-of-bounds write when processing ISO frames.
A vulnerability in the Linux kernel has been resolved by directly calling the ->free_folio() function in folio_unmap_invalidate(). The issue was that calling filemap_free_folio() without properly locking the mapping could lead to a use-after-free error.
CodeChecker to narzędzie analityczne, baza danych defektów oraz rozszerzenie do Clang Static Analyzer i Clang Tidy. Występuje obejście uwierzytelniania, gdy adres URL kończy się na 'Authentication' przy użyciu określonych wywołań funkcji, co pozwala na przypisanie dowolnych uprawnień do każdego użytkownika istniejącego w CodeChecker.
W Azure IOT Central występuje podatność, która umożliwia nieautoryzowanemu atakującemu uzyskanie dostępu do wrażliwych informacji, co pozwala na podniesienie uprawnień w sieci.
Delta Electronics AS320T has a denial of service vulnerability via the undocumented subfunction.
Delta Electronics AS320T does not check the length of the buffer with the directory name, leading to potential security issues.
Delta Electronics AS320T has a vulnerability related to the lack of checking the length of the buffer with the file name.
Delta Electronics AS320T has incorrect calculation of the buffer size on the stack in the GET/PUT request handler of the web service.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. Wersje przed 8.2.6.4 zawierają podatność na wstrzykiwanie SQL w funkcji haproxy_section_save, gdzie parametr server_ip jest przekazywany niesanitarnie do zapytania SQL.
Roxy-WI to interfejs webowy do zarządzania serwerami Haproxy, Nginx, Apache i Keepalived. W wersjach przed 8.2.6.4 interfejs haproxy_section_save zawierał podatność, która mogła prowadzić do zdalnego wykonania kodu z powodu przejścia przez ścieżkę i zapisywania w zadaniach zaplanowanych.
Podatność w interfejsie zarządzania siecią SenseLive X3050 umożliwia nieautoryzowany dostęp do niektórych punktów konfiguracyjnych z powodu niewłaściwego egzekwowania kontroli dostępu. Atakujący z dostępem do sieci urządzenia może obejść zamierzony mechanizm uwierzytelniania i bezpośrednio interagować z wrażliwymi funkcjami konfiguracyjnymi.
Podatność w wbudowanej usłudze zarządzania SenseLive X3050 umożliwia uzyskanie pełnej kontroli administracyjnej bez jakiejkolwiek formy uwierzytelnienia lub autoryzacji w aplikacji konfiguracyjnej SenseLive. Usługa akceptuje połączenia zarządzające z dowolnego dostępnego hosta, co pozwala na nieograniczoną modyfikację krytycznych parametrów konfiguracyjnych, trybów operacyjnych i stanu urządzenia za pomocą dostarczonego przez producenta lub kompatybilnego klienta.
Podatność w interfejsie zarządzania siecią SenseLive X3050 pozwala na przeprowadzenie logiki uwierzytelniania całkowicie po stronie klienta, opierając się na zakodowanych wartościach w skryptach wykonywanych w przeglądarce, zamiast na weryfikacji po stronie serwera. Atakujący mający dostęp do strony logowania może uzyskać te ujawnione parametry i zdobyć nieautoryzowany dostęp do funkcji administracyjnych.
W interfejsie zarządzania siecią SenseLive X3050 występuje podatność, która pozwala na modyfikację krytycznych parametrów konfiguracyjnych bez odpowiedniej autoryzacji lub walidacji po stronie serwera. Atakujący może wprowadzić nieobsługiwane wartości, co prowadzi do trwałego zablokowania urządzenia.
A vulnerability in SenseLive X3050’s remote management service allows firmware retrieval and update operations to be performed without authentication or authorization. The service accepts firmware-related requests from any reachable host and does not verify user privileges or the integrity of uploaded images.
Flowise prior to version 3.1.0 has a vulnerability in the GraphCypherQAChain node that forwards user-provided input without proper sanitization. This allows an attacker to inject arbitrary Cypher commands that are executed on the Neo4j database.
W Microsoft Entra ID Entitlement Management występuje podatność typu server-side request forgery (SSRF), która pozwala nieautoryzowanemu atakującemu na przeprowadzenie spoofingu w sieci.
Deserialization of untrusted data in Microsoft Bing allows an unauthorized attacker to execute code over a network.

