CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-54001
Critical

Podatność CVE-2025-54001 dotyczy deserializacji niezaufanych danych w ThemeREX Classter, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Classter od n/a do 2.5 włącznie.

CVE-2024-57854
Critical

Wersje Net::NSCA::Client do 0.009002 dla Perla wykorzystują słaby generator liczb losowych. W wersji v0.003 zmieniono generator wektorów inicjalizacyjnych na Data::Rand::Obscure, który korzysta z wbudowanej funkcji rand() w Perlu, nieodpowiedniej do zastosowań kryptograficznych.

CVE-2026-3381
Critical

Wersje Compress::Raw::Zlib do 2.219 dla Perla używają potencjalnie niebezpiecznych wersji biblioteki zlib. Wersja 2.220 zawiera zlib 1.3.2, która naprawia problemy wykryte podczas audytu 7ASecurity.

CVE-2026-3257
Critical

Wersje UnQLite do 0.06 dla Perla wykorzystują potencjalnie niebezpieczną wersję biblioteki UnQLite. Wersja 0.06 i wcześniejsze modułu Perl używają wersji biblioteki z 2014 roku, która może być podatna na przepełnienie stosu.

CVE-2025-40931
Critical

Wersje Apache::Session::Generate::MD5 do 1.94 dla Perla generują niebezpieczne identyfikatory sesji. Domyślny generator identyfikatorów sesji zwraca skrót MD5, który jest podatny na przewidywanie.

CVE-2025-40926
Critical

Wersje Plack::Middleware::Session::Simple przed 0.05 dla Perla generują identyfikatory sesji w sposób niebezpieczny. Domyślny generator identyfikatorów sesji zwraca skrót SHA-1, który jest podatny na przewidywanie.

CVE-2026-2835
Critical

Wykryto podatność typu HTTP Request Smuggling (CWE-444) w analizie żądań HTTP/1.0 i Transfer-Encoding w Pingora. Problem wynika z niewłaściwego zamykania ciał żądań HTTP/1.0 oraz błędnego przetwarzania wielu wartości Transfer-Encoding, co pozwala atakującym na wysyłanie złośliwych żądań, które desynchronizują ramki żądań Pingora z serwerami backendowymi.

CVE-2026-2833
Critical

Wykryto podatność na oszustwa w żądaniach HTTP (CWE-444) w obsłudze aktualizacji połączeń HTTP/1.1 przez Pingora. Problem występuje, gdy proxy Pingora odczytuje żądanie zawierające nagłówek Upgrade, co pozwala na przesłanie złośliwego ładunku do backendu przed zaakceptowaniem aktualizacji.

CVE-2026-26002
Critical

Aplikacja Files w Open OnDemand w wersjach przed 4.0.9 i 4.1.3 jest podatna na złośliwe dane wejściowe podczas nawigacji do katalogu. Problem ten został naprawiony w wersjach 4.0.9 i 4.1.3, a wcześniejsze wersje pozostają podatne.

CVE-2026-29000
Critical

Wersje pac4j-jwt przed 4.5.9, 5.7.9 i 6.3.3 zawierają podatność na obejście uwierzytelniania w JwtAuthenticator podczas przetwarzania zaszyfrowanych JWT. Umożliwia to zdalnym atakującym fałszowanie tokenów uwierzytelniających.

CVE-2025-70222
Critical

W podatności CVE-2025-70222 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcjach goform/formLogin oraz goform/getAuthCode.

CVE-2025-66024
Critical

Aplikacja blogowa XWiki umożliwia użytkownikom platformy XWiki tworzenie i zarządzanie postami blogowymi. Wersje przed 9.15.7 są podatne na przechowywane ataki Cross-Site Scripting (XSS) poprzez tytuł posta, ponieważ tytuł jest wstrzykiwany bezpośrednio do tagu HTML <title> bez odpowiedniego escapingu.

CVE-2025-70225
Critical

W podatności CVE-2025-70225 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curtime w komponencie goform/formEasySetupWWConfig.

CVE-2025-70221
Critical

W podatności CVE-2025-70221 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formLogin.

CVE-2025-46108
Critical

D-link Dir-513 A1FW110 jest podatny na przepełnienie bufora w funkcji formTcpipSetup. Ta podatność może prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-3545
Critical

Niewystarczająca walidacja danych w nawigacji w Google Chrome przed wersją 145.0.7632.159 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2025-70219
Critical

W podatności CVE-2025-70219 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez interfejs goform/formDeviceReboot.

CVE-2025-70226
Critical

W podatności CVE-2025-70226 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formEasySetupWizard.

CVE-2025-70223
Critical

W podatności CVE-2025-70223 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formAdvNetwork.

CVE-2026-20131
Critical

Podatność w interfejsie zarządzania opartym na sieci web oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na wykonanie dowolnego kodu Java jako root na podatnym urządzeniu. Problem wynika z niebezpiecznej deserializacji strumienia bajtów Java dostarczonego przez użytkownika.

PreviousPage 154 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS