CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-1115
Critical

Zidentyfikowano podatność typu Stored Cross-Site Scripting (XSS) w funkcji społecznościowej projektu parisneo/lollms, dotyczącej wersji przed 2.2.0. Problem występuje w funkcji `create_post`, gdzie treści dostarczane przez użytkowników są przypisywane do modelu `DBPost` bez odpowiedniego oczyszczania.

CVE-2026-6025
Critical

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setSyslogCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5997
Critical

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setLoginPasswordCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem admpass prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5996
Critical

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 wykryto podatność bezpieczeństwa. Problem dotyczy funkcji setAdvancedInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem tty_server prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5995
Critical

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setMiniuiHomeInfoShow w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem lan_info może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5994
Critical

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setTelnetCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem telnet_enabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5993
Critical

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiGuestCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5393
Critical

Podatność CVE-2026-5393 dotyczy odczytu poza zakresem podczas przetwarzania wiadomości CertificateVerify z użyciem podwójnego algorytmu. Problem ten występuje tylko w przypadku, gdy podczas kompilacji wolfSSL użyto opcji --enable-experimental oraz --enable-dual-alg-certs.

CVE-2026-5503
Critical

W funkcji TLSX_EchChangeSNI, gałąź ctx->extensions ustawiała rozszerzenia bezwarunkowo, nawet gdy TLSX_Find zwracał NULL. To spowodowało, że TLSX_UseSNI dołączał publicName kontrolowany przez atakującego do współdzielonego WOLFSSL_CTX, gdy nie skonfigurowano wewnętrznego SNI.

CVE-2026-34424
Critical

Smart Slider 3 Pro w wersji 3.5.1.35 dla WordPressa i Joomli zawiera wieloetapowy zestaw narzędzi do zdalnego dostępu, wstrzyknięty przez skompromitowany system aktualizacji, co pozwala nieautoryzowanym atakującym na wykonywanie dowolnego kodu i poleceń. Atakujący mogą uruchamiać zdalne powłoki przed uwierzytelnieniem za pomocą nagłówków HTTP oraz tworzyć ukryte konta administratorów.

CVE-2026-5264
Critical

Występuje przepełnienie bufora w stercie podczas przetwarzania wiadomości ACK w DTLS 1.3. Zdalny atakujący może wysłać spreparowaną wiadomość ACK DTLS 1.3, co prowadzi do przepełnienia bufora.

CVE-2026-40154
Critical

PraisonAI to system zespołów wieloagentowych. W wersjach przed 4.5.128, PraisonAI traktuje zdalnie pobrane pliki szablonów jako zaufany kod wykonywalny bez weryfikacji integralności, walidacji pochodzenia ani potwierdzenia użytkownika, co umożliwia ataki na łańcuch dostaw za pomocą złośliwych szablonów.

CVE-2026-33784
Critical

A Use of Default Password vulnerability in Juniper Networks Support Insights (JSI) Virtual Lightweight Collector (vLWC) allows an unauthenticated, network-based attacker to take full control of the device. vLWC software images ship with an initial password for a high privileged account, and a change of this password is not enforced during provisioning. This issue affects all versions of vLWC before 3.0.94.

CVE-2026-5978
Critical

Wykryto podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setWiFiAclRules w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem mode prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5977
Critical

Zidentyfikowano słabość w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem wifiOff może prowadzić do wstrzyknięcia poleceń systemowych.

CVE-2026-5976
Critical

W urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024 odkryto lukę bezpieczeństwa w funkcji setStorageCfg pliku /cgi-bin/cstecgi.cgi, która dotyczy komponentu CGI Handler. Manipulacja argumentem sambaEnabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-5975
Critical

Zidentyfikowano podatność w urządzeniu Totolink A7100RU w wersji 7.4cu.2313_b20191024. Problem dotyczy funkcji setDmzCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem wanIdx prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-5194
Critical

Missing hash/digest size and OID checks allow digests smaller than allowed when verifying ECDSA certificates to be accepted. This could lead to reduced security of ECDSA certificate-based authentication if the public CA key used is also known.

CVE-2026-5187
Critical

W funkcji DecodeObjectId() w pliku wolfcrypt/src/asn.c występują dwa potencjalne miejsca, w których może dojść do zapisu poza granicami bufora. Pierwsze z nich polega na tym, że sprawdzenie granic waliduje tylko jeden dostępny slot przed zapisaniem dwóch wartości OID, co umożliwia zapis 2 bajtów poza granicami, gdy outSz wynosi 1. Drugie dotyczy sytuacji, w której wielu wywołujących przekazuje rozmiar decOid (64 bajty na platformach 64-bitowych) zamiast liczby elementów MAX_OID_SZ (32), co pozwala na akceptację stworzonych OID z 33 lub więcej łukami, co prowadzi do zapisu poza końcem przydzielonego bufora.

CVE-2026-40089
Critical

Sonicverse, samodzielnie hostowany stos Docker Compose do transmisji radiowej na żywo, zawiera podatność typu Server-Side Request Forgery (SSRF) w swoim kliencie API. W instalacjach utworzonych za pomocą skryptu install.sh, dashboard akceptuje kontrolowane przez użytkownika adresy URL i przekazuje je bez wystarczającej walidacji do klienta HTTP po stronie serwera.

PreviousPage 113 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS