CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2026-36616
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem układowym AC12G(EU)_V1_200909 zawiera wbudowane, twardo zakodowane dane uwierzytelniające do sterownika WiFi, w tym wspólny klucz RADIUS, klucz testowy WPS oraz domyślny klucz PSK. Te informacje są osadzone w binarnej wersji oprogramowania produkcyjnego.

CVE-2026-36615
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 udostępnia nieudokumentowany punkt końcowy /agileconfigreset, który zwraca zawartość wewnętrznego bufora osobom atakującym, które nie są uwierzytelnione i znajdują się w sąsiedniej sieci.

CVE-2026-36613
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 zwraca 128 bajtów niezinicjalizowanej zawartości wewnętrznego bufora podczas odbierania żądań HTTP POST do nieokreślonych ścieżek. To może ujawniać stan serwera nieautoryzowanym atakującym z sąsiedniej sieci.

CVE-2026-36612
Medium

Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 domyślnie włącza WPS 2.0 z słabą polityką blokady (60-sekundowa blokada po 10 próbach).

CVE-2026-36610
Medium

Urządzenie Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 przesyła dane logowania do usługi DDNS w postaci niezaszyfrowanej przez HTTP, używając jedynie kodowania Base64. Oprogramowanie nie implementuje TLS, co umożliwia przechwycenie danych przez atakującego w trybie man-in-the-middle.

CVE-2026-36605
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 jest podatny na atak typu denial of service poprzez niewielką liczbę spreparowanych, niekompletnych żądań HTTP, co prowadzi do trwałego awarii wymagającej fizycznego zresetowania zasilania.

CVE-2026-36604
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 nie weryfikuje nagłówka HTTP Host, co umożliwia ataki DNS rebinding. Zewnętrzny atakujący może powiązać domenę z wewnętrznym adresem IP routera, co rozszerza podatność na CORS (Access-Control-Allow-Origin: *) na ataki pochodzące z internetu.

CVE-2026-36602
Medium

Router Mercusys AC12G (EU) V1 z oprogramowaniem AC12G(EU)_V1_200909 ujawnia układ pamięci jądra poprzez akcję UPnP GetStatusInfo. Nieautoryzowany atakujący z sąsiedniej sieci może uzyskać surowy wskaźnik jądra MIPS KSEG0, co ujawnia układ pamięci jądra i ułatwia dalsze wykorzystanie podatności.

CVE-2026-36460
Medium

Dovestones Softwares ADPhonebook before v4.0.1.1 is vulnerable to a Cross Site Scripting vulnerability. The /Admin/Save API allows an authenticated admin user to store malicious JavaScript payloads in multiple configuration sections without proper input validation or output encoding.

CVE-2026-20233
Medium

A vulnerability in the web-based user interface of Cisco Webex Meetings could have allowed an unauthenticated, remote attacker to conduct a cross-site scripting (XSS) attack. Cisco has addressed this vulnerability in the Webex Meetings service, and no customer action is needed.

CVE-2026-20175
Medium

Podatność w Cisco Finesse umożliwia nieautoryzowanemu, zdalnemu atakującemu załadowanie dowolnych plików z zdalnych lokalizacji do aktywnej sesji użytkownika na podatnym urządzeniu, co może prowadzić do ataków opartych na przeglądarkach. Problem wynika z niewystarczającej walidacji danych wejściowych dostarczanych przez użytkownika w żądaniach HTTP.

CVE-2025-71314
Medium

A vulnerability in the Linux kernel related to the panthor_gpu_flush_caches() function has been resolved, which could lead to the entire memory subsystem being blocked. A reset mechanism has been introduced to allow operations to continue after a reset in case this issue occurs.

CVE-2025-71313
Medium

A vulnerability has been identified in the Linux kernel related to the lack of NULL check after calling alloc_workqueue(). This may lead to a NULL pointer dereference, resulting in driver malfunction.

CVE-2019-25720
Medium

Urządzenia monitorujące Dräger SC (SC 6002XL, SC 6802XL, SC 7000, SC 8000, SC 9000 XL) zawierają podatność na atak typu denial-of-service we wszystkich wersjach oprogramowania. Umożliwia to nieautoryzowanym atakującym zrestartowanie monitora poprzez wysyłanie źle sformatowanych pakietów sieciowych.

CVE-2026-42320
Medium

GLPI to darmowe oprogramowanie do zarządzania aktywami i IT. W wersjach od 0.50 do przed 10.0.25 oraz 11.0.7 technik może odczytać dowolne pliki znajdujące się w katalogu GLPI_DOC_DIR.

CVE-2026-3276
Medium

The unicodedata.normalize() function can consume excessive CPU time when processing specially crafted Unicode input containing long runs of combining characters with alternating Canonical Combining Class values. This affects all normalization forms.

CVE-2022-31114
Medium

Pakiet backpack/crud, który zapewnia funkcje CRUD dla Backpack, jest podatny na atak typu cross-site scripting w wersjach przed 5.0.13, 4.1.69 i 4.0.63. Atakujący może przeprowadzić ukierunkowaną kampanię phishingową, aby oszukać użytkowników lub administratorów, co może prowadzić do ujawnienia informacji lub uzyskania dostępu administracyjnego.

CVE-2026-47325
Medium

System zarządzania szkołą ProjectsAndPrograms wykorzystuje przewidywalne dane uwierzytelniające, generując hasła uczniów i nauczycieli wyłącznie na podstawie daty urodzenia użytkownika. Aplikacja nie wymaga zmiany hasła przy pierwszym logowaniu, co umożliwia atakującym łatwe odgadnięcie lub wyprowadzenie ważnych danych logowania.

CVE-2026-47324
Medium

System zarządzania szkołą ProjectsAndPrograms jest podatny na przechowywane ataki Cross-Site Scripting (XSS) w wielu atrybutach obiektów uczniów i nauczycieli. Autoryzowany atakujący, taki jak nauczyciel lub administrator, może wstrzyknąć złośliwy kod JavaScript, który zostanie następnie wykonany w przeglądarkach innych użytkowników.

CVE-2026-44545
Medium

Daphne versions before 4.2.2 did not pass maxFramePayloadSize or maxMessagePayloadSize to Autobahn's WebSocketServerFactory. Autobahn defaults both values to 0 (unlimited), allowing an unauthenticated remote attacker to send arbitrarily large WebSocket messages or frames, leading to excessive memory consumption and denial of service.

PreviousPage 184 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS