CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-48092
Medium

7-Zip is a file archiver with a high compression ratio. Versions 9.34 through 26.00 contain a heap memory disclosure due to an integer overflow in the SquashFS ReadBlock function on 32-bit builds.

CVE-2026-38579
Medium

Multiple reflected Cross-Site Scripting (XSS) vulnerabilities in damasac thaipalliative_lte through version 3.0 allow remote attackers to inject arbitrary web script or HTML via the idFormMain, id, and ptid_key parameters in /substudy/ezform.php.

CVE-2026-37737
Medium

Wersje sanic-cors do 2.2.0 zawierają nieprawidłowy wyrażenie regularne w funkcji try_match(), co umożliwia atakującym ominięcie listy dozwolonych originów CORS. Atakujący może zarejestrować domenę zaczynającą się od zaufanego ciągu origin, co prowadzi do nieautoryzowanego dostępu do zasobów wymagających uwierzytelnienia.

CVE-2026-11335
Medium

W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano lukę, która wpływa na funkcję session_start w pliku /login-form.php. Manipulacja argumentem UserAuthData może prowadzić do ataku typu session fixation, który może być przeprowadzony zdalnie.

CVE-2026-11333
Medium

W systemie zarządzania uczelnią tittuvarghese CollegeManagementSystem zidentyfikowano podatność, która umożliwia nieograniczone przesyłanie danych studentów poprzez manipulację argumentem Student-Data-CSV w pliku upload_student_data.php. Atak można przeprowadzić zdalnie.

CVE-2025-59174
Medium

Ericsson Packet Core Controller (PCC) versions prior to 1.39 contain a vulnerability where an attacker sending a large volume of specially crafted messages may cause service degradation.

CVE-2020-25900
Medium

HelloTalk w wersji 3.4.1 przechowuje pełne współrzędne GPS, nawet gdy użytkownik zamierzał udostępnić jedynie kraj lub miasto. Współrzędne te są umieszczane w bazie danych na urządzeniach innych użytkowników.

CVE-2026-50235
Medium

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na refleksyjny atak typu cross-site scripting w zaawansowanych parametrach wyszukiwania, które nieprawidłowo sanitizują dane wejściowe użytkownika przed ich wyświetleniem w formularzach wyszukiwania. Atakujący mogą wstrzykiwać złośliwe skrypty przez niesanitizowane parametry wyszukiwania, co pozwala na wykonanie dowolnego kodu JavaScript w przeglądarkach użytkowników.

CVE-2026-50233
Medium

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane wyświetlanie zawartości katalogów w zapytaniu readdirectory, które jest dostępne zarówno przez usługę CLI (port TCP 9090), jak i przez punkt końcowy HTTP JSON-RPC (/jsonrpc.js). Zapytanie akceptuje parametr folder i wyświetla jego zawartość bez ograniczeń do skonfigurowanych katalogów multimedialnych oraz bez uwierzytelnienia w domyślnej konfiguracji.

CVE-2026-50230
Medium

Serwer muzyczny Lyrion w wersji 9.2.0 zawiera podatność na nieautoryzowane odzwierciedlone ataki typu cross-site scripting w punkcie końcowym server.log. Umożliwia to atakującym wstrzykiwanie dowolnego kodu HTML i JavaScript poprzez parametr wyszukiwania.

CVE-2026-50263
Medium

A use-after-free vulnerability was found in the X.Org X server and Xwayland in the CreateSaverWindow() function. A client can trigger a use-after-free read by changing window attributes and forcing the screen saver, leading to information disclosure.

CVE-2026-50262
Medium

An out-of-bounds read flaw was found in the X.Org X server and Xwayland in __glXDisp_ChangeDrawableAttributes(). A wrong size validation check can read a client-controlled number of bytes, exceeding the request buffer, leading to information disclosure. A write path also exists but requires byte-swapped clients which is disabled by default.

CVE-2026-25659
Medium

Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Missing Values vulnerability, allowing an attacker to continuously send a specially crafted message, causing service degradation.

CVE-2026-25658
Medium

Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Missing Values vulnerability, allowing an attacker to continuously send a specially crafted message, leading to service degradation.

CVE-2026-25657
Medium

Ericsson Packet Core Gateway (PCG) versions prior to 1.30 contain an Improper Handling of Syntactically Invalid Structure vulnerability, allowing an attacker to continuously send a specially crafted message, leading to service degradation.

CVE-2026-11346
Medium

Podatność typu Server-Side Request Forgery (SSRF) w funkcji tworzenia procesów w linqi pozwala uwierzytelnionemu atakującemu na badanie komponentów wewnętrznej sieci. Atakujący może skonstruować odpowiedni proces z komponentem żądania HTTP, co umożliwia serwerowi wysyłanie dowolnych żądań HTTP.

CVE-2026-11345
Medium

Podatność na niewłaściwą autoryzację w punkcie końcowym /api/Cdn/GetFile w linqi pozwala nieautoryzowanym, zdalnym atakującym na obejście kontroli dostępu do plików. Funkcja ValidateAnonFileAccess błędnie przyznaje dostęp, gdy podany jest parametr zapytania 'AnonFile' zawierający dokładnie 256 znaków.

CVE-2026-21038
Medium

Improper input validation in Samsung Android USB Driver for Windows prior to version 1.9.5.0 allows a local attacker to access out-of-bounds memory.

CVE-2026-21036
Medium

An improper authorization vulnerability in Samsung Internet prior to version 30.0.0.39 allows local attackers to access sensitive information.

CVE-2026-21028
Medium

Nieprawidłowa kontrola dostępu w usłudze AuditLogService przed wydaniem SMR czerwiec-2026 Release 1 umożliwia lokalnym atakującym dostęp do wrażliwych informacji.

PreviousPage 167 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS