CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-36180
Medium

GNCC GP5 v7.1.76 lacks runtime integrity, allowing physically-proximate attackers to bypass file system read-only protections. A bind-mount attack enables modification of system files and binaries for the duration of a boot session.

CVE-2026-36178
Medium

The factory reset functionality in GNCC GP5 v7.1.76 fails to clear sensitive cryptographic material in the JFFS2 configuration partition, possibly allowing attackers to recover and obtain sensitive user data.

CVE-2026-36175
Medium

A vulnerability in the U-Boot component of GNCC GP5 v7.1.76 allows physically-proximate attackers to bypass authentication and gain root access by interrupting the boot sequence and injecting a crafted string into kernel boot arguments.

CVE-2026-36174
Medium

GNCC GP5 v7.1.76 was found to store sensitive wireless network information in plaintext during routine operations to the serial console. This allows physically proximate attackers to obtain network credentials by monitoring the UART interface.

CVE-2026-10864
Medium

A vulnerability in the MISP dashboard widgets allowed an authenticated user to manipulate field options, potentially disclosing user email addresses and other organization data even when disclosure was disabled in configuration.

CVE-2026-10860
Medium

A logic error in the MISP CRUD component delete handler allows validation failures to be bypassed when using the HTTP DELETE method. Due to missing parentheses in the delete condition, a DELETE request could proceed even when the validation callback rejected the operation.

CVE-2026-10811
Medium

W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.

CVE-2026-43926
Medium

FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.

CVE-2026-40605
Medium

Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.

CVE-2026-10861
Medium

An open redirect vulnerability existed in MISP UsersController::routeafterlogin() where the value stored in the pre_login_requested_url session key was used as the post-login redirect destination without sufficiently enforcing that it was a local application path.

CVE-2026-10856
Medium

A URL validation flaw in the MISP dashboard allowed a crafted URL to be accepted as a local path while being interpreted by browsers as an external URL. This flaw enabled attackers to create buttons that appeared to lead inside the application but redirected users to attacker-controlled sites.

CVE-2026-10855
Medium

An authorization flaw existed in the MISP Event Template Importer overwrite workflow. An authenticated user could overwrite an event template owned by another organization without being a member of that organization.

CVE-2026-10854
Medium

A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions.

CVE-2026-10810
Medium

Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).

CVE-2026-10809
Medium

W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10808
Medium

Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.

CVE-2026-10807
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.

CVE-2026-10806
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.

CVE-2019-25744
Medium

WordPress Popup Builder version 3.49 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter.

CVE-2019-25743
Medium

WordPress Soliloquy Lite version 2.5.6 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by inserting script tags in the post title field.

PreviousPage 180 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS