CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST — in English
CISA KEV catalog updated: (v2026.07.01)
Incorrect handling of permissions in STORM and OTRS (2026.x and above) modules allows gaining knowledge about the number of affected CIs, SLAs, and services without gaining access to them.
Incorrect handling of permissions in OTRS External Interface and the ConfigItem List module allows an authenticated customer to query the system for CI information. This issue occurs only when CMDB is enabled and CustomerGroupSupport is used.
Wykryto podatność w unitedbyai droidclaw do wersji 0.5.3, która dotyczy nieznanej funkcji w pliku server/src/routes/pairing.ts komponentu claim Endpoint. Manipulacja prowadzi do niewłaściwego ograniczenia nadmiernych prób uwierzytelnienia.
Wykryto podatność w Assimp do wersji 6.0.4, która dotyczy funkcji FBXExporter::WriteObjects w pliku FBXExporter.cpp komponentu UV Channel Handler. Manipulacja tą funkcją może prowadzić do błędu dzielenia przez zero.
W bibliotece Assimp do wersji 6.0.4 odkryto podatność w funkcji glTF2::LazyDict, która prowadzi do dereferencji wskaźnika null w wyniku manipulacji operatorem []. Atak musi być przeprowadzony lokalnie.
W bibliotece Assimp do wersji 6.0.4 znaleziono lukę, która występuje w funkcji Assimp::glTFImporter::ImportMeshes w pliku glTFImporter.cpp. Problem ten prowadzi do dereferencji wskaźnika null, co może być wykorzystane przez atakującego.
Wykryto podatność w Assimp do wersji 6.0.4, dotycząca funkcji glTF2Importer::ImportEmbeddedTextures. Manipulacja prowadzi do dereferencji wskaźnika null, co może być wykorzystane przez lokalnego atakującego.
W systemie zarządzania uczniami OUSL-GROUP-BrinaryBrains wykryto podatność w funkcji ajax_forgot_password w pliku application/controllers/Login.php. Manipulacja argumentem email prowadzi do osłabionej procedury odzyskiwania hasła, co może być wykorzystane zdalnie.
W systemie zarządzania studentami sambitraj w wersji 1.0 zidentyfikowano podatność w nieznanej funkcji komponentu Dashboard Page. Manipulacja argumentem Name prowadzi do ataku typu cross site scripting (XSS), który można przeprowadzić zdalnie.
The StrongDM Desktop Application before version 23.74.0 (Desktop Client before version 53.77.0) on Microsoft Windows stores authentication state, including a JSON Web Token and asymmetric key material, in cleartext in a per-user state file. This file is located at C:\Users\<username>\.sdm\state.kv and is protected only by default user-level NTFS permissions.
Rizin to framework do inżynierii wstecznej oraz zestaw narzędzi wiersza poleceń działający w systemach podobnych do UNIX. Występuje w nim przepełnienie bufora na stercie w pliku librz/bin/format/omf/omf.c, które zostało naprawione w wyniku commita e6d0937c8a083e23ed76ccfb9f631cdc50c7af47.
Rizin to framework do inżynierii wstecznej i zestaw narzędzi wiersza poleceń działający w systemach podobnych do UNIX. Występuje podwójne zwolnienie pamięci w funkcji byte_pattern_search() z powodu błędnie zadeklarowanej własności wskaźnika.
W wersjach 0.24.8 i wcześniejszych broker MQTT NanoMQ może dereferencjonować wskaźnik substrumienia, gdy substrumień jest w stanie ponownego otwarcia. Kod kończy operację AIO z błędem, ale nie zwraca przed zablokowaniem mutexa c->mtx.
W JetBrains IntelliJ IDEA przed wersją 2026.1 występowała podatność xXE w parserze formularzy UI Designer, która mogła być wykorzystana.
W wersjach JetBrains TeamCity przed 2026.1 istniała możliwość przeprowadzenia ataku typu stored XSS na stronie logowania SAML.
W wersjach JetBrains TeamCity przed 2026.1 występowała podatność na otwarte przekierowanie w wtyczce SAML. Umożliwia to atakującym przekierowanie użytkowników do złośliwych stron.
W wersjach JetBrains YouTrack przed 2026.1.13162 istniała możliwość ujawnienia informacji w żądaniach fetchApp.
QuickCMS jest podatny na ataki typu Cross-Site Scripting (XSS) z powodu niebezpiecznego mechanizmu pobierania wtyczek przez HTTP. Złośliwy atakujący może przeprowadzić atak typu Man-in-the-Middle (MITM), podszywając się pod serwer opensolution.org i serwując dowolny kod HTML lub JavaScript.
Vulnerability in the Infotainment / Digital Round display of the Indian Motorcycle Scout Bobber + Tech (2025 model year) allows an adjacent-network attacker to bypass the PIN entry screen. The system incorrectly assumes that absence of WCM traffic during boot indicates no immobilizer, showing the normal user interface without authorization.
Vulnerability in the Infotainment system of the Indian Motorcycle Scout Bobber + Tech (2025 model year) allows an adjacent-network attacker to bypass the PIN entry screen. The system incorrectly assumes that absence of WCM traffic during boot indicates no immobilizer, skipping the lock screen.

