CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
7-Zip is a file archiver with a high compression ratio. Versions 9.34 through 26.00 contain a heap memory disclosure due to an integer overflow in the SquashFS ReadBlock function on 32-bit builds.
Multiple reflected Cross-Site Scripting (XSS) vulnerabilities in damasac thaipalliative_lte through version 3.0 allow remote attackers to inject arbitrary web script or HTML via the idFormMain, id, and ptid_key parameters in /substudy/ezform.php.
Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.
W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano lukę, która wpływa na funkcję session_start w pliku /login-form.php. Manipulacja argumentem UserAuthData może prowadzić do ataku typu session fixation, który może być przeprowadzony zdalnie.
W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie danych studentów poprzez manipulację argumentem Student-Data-CSV w pliku upload_student_data.php. Atak można przeprowadzić zdalnie.
Ericsson Packet Core Controller (PCC) versions prior to 1.39 contain a vulnerability where an attacker sending a large volume of specially crafted messages may cause service degradation.
HelloTalk w wersji 3.4.1 przechowuje pełne współrzędne GPS, nawet gdy użytkownik zamierzał udostępnić jedynie kraj lub miasto. Współrzędne te są umieszczane w bazie danych na urządzeniach innych użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na refleksyjny atak typu cross-site scripting w zaawansowanych parametrach wyszukiwania, które nieprawidłowo sanitizują dane wejściowe użytkownika przed ich wyświetleniem w formularzach wyszukiwania. Atakujący mogą wstrzykiwać złośliwe skrypty przez niesanitizowane parametry wyszukiwania, co pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach użytkowników.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.
Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane odzwierciedlone ataki typu cross-site scripting w punkcie końcowym server.log. Umożliwia to atakującym wstrzykiwanie dowolnego kodu HTML i JavaScript poprzez parametr wyszukiwania.
A use-after-free vulnerability was found in the X.Org X server and Xwayland in the CreateSaverWindow() function. A client can trigger a use-after-free read by changing window attributes and forcing the screen saver, leading to information disclosure.
An out-of-bounds read flaw was found in the X.Org X server and Xwayland in __glXDisp_ChangeDrawableAttributes(). A wrong size validation check can read a client-controlled number of bytes, exceeding the request buffer, leading to information disclosure. A write path also exists but requires byte-swapped clients which is disabled by default.
Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Missing Values vulnerability, allowing an attacker to continuously send a specially crafted message, causing service degradation.
Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Missing Values vulnerability, allowing an attacker to continuously send a specially crafted message, leading to service degradation.
Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Syntactically Invalid Structure vulnerability, allowing an attacker to continuously send a specially crafted message, leading to service degradation.
Podatność typu Server-Side Request Forgery (SSRF) w funkcji tworzenia procesów w linqi pozwala uwierzytelnionemu atakującemu na badanie komponentów wewnętrznej sieci. Atakujący może skonstruować odpowiedni proces z komponentem żądania HTTP, co umożliwia serwerowi wysyłanie dowolnych żądań HTTP.
Podatność na niewłaściwą autoryzację w punkcie końcowym /api/Cdn/GetFile w linqi pozwala nieautoryzowanym, zdalnym atakującym na obejście kontroli dostępu do plików. Funkcja ValidateAnonFileAccess błędnie przyznaje dostęp, gdy podany jest parametr zapytania 'AnonFile' zawierający dokładnie 256 znaków.
Improper input validation in Samsung Android USB Driver for Windows prior to version 1.9.5.0 allows a local attacker to access out-of-bounds memory.
An improper authorization vulnerability in Samsung Internet prior to version 30.0.0.39 allows local attackers to access sensitive information.
Nieprawidłowa kontrola dostępu w usłudze AuditLogService przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.

