CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-26279
Critical

Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.

CVE-2026-26266
Critical

W menedżerze haseł AliasVault zidentyfikowano podatność typu XSS w funkcji renderowania e-maili w wersjach 0.25.3 i niższych. Atakujący może wysłać spreparowany e-mail z złośliwym skryptem JavaScript, który zostanie wykonany w kontekście aplikacji, gdy ofiara wyświetli ten e-mail.

CVE-2026-3224
Critical

W Devolutions Server 2025.3.15.0 i wcześniejszych wersjach występuje luka w autoryzacji, która pozwala nieautoryzowanemu użytkownikowi na uwierzytelnienie się jako dowolny użytkownik Entra ID za pomocą sfałszowanego tokena JWT.

CVE-2026-3204
Critical

Nieprawidłowa walidacja danych wejściowych na stronie komunikatów o błędach w Devolutions Server 2025.3.16 i wcześniejszych wersjach umożliwia zdalnym atakującym fałszowanie wyświetlanego komunikatu o błędzie za pomocą specjalnie przygotowanego URL.

CVE-2026-3130
Critical

W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.

CVE-2026-2590
Critical

In Devolutions Remote Desktop Manager 2025.3.30 and earlier, there is improper enforcement of the Disable password saving in vaults setting. This allows an authenticated user to persist credentials in vault entries, potentially exposing sensitive information to other users.

CVE-2026-27012
Critical

W OpenSTAManager w wersji 2.9.8 i wcześniejszych występuje podatność na eskalację uprawnień oraz obejście uwierzytelniania, która pozwala atakującemu na dowolną zmianę grupy użytkownika (idgruppo) poprzez bezpośrednie wywołanie modules/utenti/actions.php. Może to prowadzić do awansu konta (np. agenta) do grupy Amministratori oraz degradacji dowolnego użytkownika, w tym istniejących administratorów.

CVE-2026-25146
Critical

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach od 5.0.2 do przed 8.0.0 istnieją co najmniej dwie ścieżki, w których tajny klucz gateway_api_key jest ujawniany klientowi w postaci niezaszyfrowanej.

CVE-2026-24898
Critical

OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Przed wersją 8.0.0 istniała podatność na ujawnienie tokenów w punkcie końcowym MedEx, która pozwalała nieautoryzowanym użytkownikom na uzyskanie tokenów API, co prowadziło do poważnych naruszeń bezpieczeństwa.

CVE-2026-24848
Critical

OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach 7.0.4 i wcześniejszych, metoda disposeDocument() w pliku EtherFaxActions.php pozwala uwierzytelnionym użytkownikom na zapis dowolnej treści w dowolnych lokalizacjach systemu plików serwera, co może prowadzić do zdalnego wykonania kodu (RCE).

CVE-2026-3485
Critical

W urządzeniu D-Link DIR-868L w wersji 110b03 znaleziono lukę, która dotyczy funkcji sub_1BF84 w usłudze SSDP. Manipulacja argumentem ST może prowadzić do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2025-70240
Critical

W podatności CVE-2025-70240 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard51.

CVE-2025-70239
Critical

W podatności CVE-2025-70239 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard55.

CVE-2025-70234
Critical

W podatności CVE-2025-70234 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetQoS.

CVE-2025-70241
Critical

W podatności CVE-2025-70241 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formSetWANType_Wizard5.

CVE-2025-70237
Critical

W podatności CVE-2025-70237 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetPortTr.

CVE-2025-70236
Critical

W podatności CVE-2025-70236 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetDomainFilter.

CVE-2025-66945
Critical

W Zdir Pro 4.x występuje podatność na traversję ścieżki w API ekstrakcji ZIP. Przetwarzając spreparowany archiwum ZIP w backendzie pod adresem /api/extract, pliki mogą być zapisywane poza zamierzonym katalogiem, co prowadzi do nadpisania dowolnych plików i potencjalnego zdalnego wykonania kodu.

CVE-2024-55026
Critical

W punkcie końcowym reset_pj.cgi w Weintek cMT-3072XH2 easyweb v2.1.53, OS v20231011 występuje problem, który pozwala nieautoryzowanym atakującym na wykonanie dowolnych poleceń poprzez dostarczenie odpowiednio skonstruowanego żądania GET.

CVE-2024-55024
Critical

W podatności CVE-2024-55024 występuje obejście uwierzytelniania w mechanizmie autoryzacji urządzenia Weintek cMT-3072XH2 w wersji easyweb v2.1.53 oraz OS v20231011. Umożliwia to nieautoryzowanym atakującym wykonywanie działań administracyjnych przy użyciu kont serwisowych.

PreviousPage 156 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS