CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
GNCC GP5 v7.1.76 lacks runtime integrity, allowing physically-proximate attackers to bypass file system read-only protections. A bind-mount attack enables modification of system files and binaries for the duration of a boot session.
The factory reset functionality in GNCC GP5 v7.1.76 fails to clear sensitive cryptographic material in the JFFS2 configuration partition, possibly allowing attackers to recover and obtain sensitive user data.
A vulnerability in the U-Boot component of GNCC GP5 v7.1.76 allows physically-proximate attackers to bypass authentication and gain root access by interrupting the boot sequence and injecting a crafted string into kernel boot arguments.
GNCC GP5 v7.1.76 was found to store sensitive wireless network information in plaintext during routine operations to the serial console. This allows physically proximate attackers to obtain network credentials by monitoring the UART interface.
A vulnerability in the MISP dashboard widgets allowed an authenticated user to manipulate field options, potentially disclosing user email addresses and other organization data even when disclosure was disabled in configuration.
A logic error in the MISP CRUD component delete handler allows validation failures to be bypassed when using the HTTP DELETE method. Due to missing parentheses in the delete condition, a DELETE request could proceed even when the validation callback rejected the operation.
W systemie zarządzania opłatami itsourcecode w wersji 1.0 wykryto podatność bezpieczeństwa. Manipulacja argumentem ef_id w pliku /receipt.php prowadzi do wstrzyknięcia SQL, co może być wykorzystane przez zdalnego atakującego.
FOSSBilling to darmowy, otwartoźródłowy system zarządzania fakturami i klientami. W wersjach przed 0.8.0, punkt końcowy potwierdzenia resetu hasła `/client/reset-password-confirm/:hash` nie jest objęty ograniczeniem liczby żądań, co pozwala atakującemu na nieograniczone próby zgadywania tokenów resetujących hasło.
Tautulli to narzędzie do monitorowania i śledzenia dla Plex Media Server, oparte na Pythonie. W wersjach przed 2.17.1 występuje podatność typu path traversal w punkcie końcowym usuwania pamięci podręcznej, która pozwala na usunięcie katalogów poza skonfigurowaną ścieżką pamięci podręcznej przez uwierzytelnionych użytkowników API.
An open redirect vulnerability existed in MISP UsersController::routeafterlogin() where the value stored in the pre_login_requested_url session key was used as the post-login redirect destination without sufficiently enforcing that it was a local application path.
A URL validation flaw in the MISP dashboard allowed a crafted URL to be accepted as a local path while being interpreted by browsers as an external URL. This flaw enabled attackers to create buttons that appeared to lead inside the application but redirected users to attacker-controlled sites.
An authorization flaw existed in the MISP Event Template Importer overwrite workflow. An authenticated user could overwrite an event template owned by another organization without being a member of that organization.
A visibility control issue in the event template creation workflow allowed non-site-admin users to access private galaxies belonging to other organisations. The event template builder loaded all enabled galaxies without applying organisation or distribution-based access restrictions.
Zidentyfikowano słabość w systemie zarządzania opłatami itsourcecode do wersji 1.0. Manipulacja argumentem 'page' w pliku /navbar.php prowadzi do podatności na ataki typu cross site scripting (XSS).
W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.
Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.
Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.
WordPress Popup Builder version 3.49 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter.
WordPress Soliloquy Lite version 2.5.6 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by inserting script tags in the post title field.

