CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2021-4479
Medium

Dräger Atlan A350 versions 1.00 up to and including 1.01 contains an improper input handling vulnerability that allows attackers to cause a denial of service by sending specifically crafted non-Medibus-compliant data through the Medibus interface. Attackers can transmit malformed data to overload the internal processor.

CVE-2019-25724
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.x i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym na wielokrotne wywoływanie restartów urządzenia. W wyniku tego urządzenie może wejść w stan awarii, co wymaga ręcznego ponownego uruchomienia.

CVE-2019-25723
Medium

Oprogramowanie Dräger Perseus A500 w wersjach od 2.00 do 2.02 zawiera podatność na niewłaściwe przetwarzanie danych wejściowych, która pozwala zewnętrznym atakującym na wywołanie odmowy usługi poprzez wysyłanie specjalnie przygotowanych danych niezgodnych z Medibus. Atakujący mogą przeciążyć wewnętrzny procesor, co prowadzi do ponownego uruchomienia i obniżenia ciśnienia wentylacji do poziomu otoczenia.

CVE-2019-25721
Medium

Monitory pacjentów Dräger Infinity M300 z wersją oprogramowania VG2.3.1 i wcześniejszymi zawierają podatność na atak typu denial of service, która pozwala atakującym z sieci sąsiedniej na wielokrotne wywoływanie restartów urządzenia poprzez wysyłanie złośliwych żądań przez sieć Infinity. Wykorzystanie tej podatności może doprowadzić do stanu awarii urządzenia, wymagającego ręcznego restartu.

CVE-2026-49943
Medium

W wersji 2.19.0 demona routingu internetowego CZ.NIC BIRD występuje przepełnienie bufora na stosie w implementacji dopasowywania maski AS_PATH BGP. Funkcja as_path_match() używa stałej tablicy na stosie, podczas gdy parse_path() nie egzekwuje limitu pojemności dla segmentów AS_PATH, co może prowadzić do awarii demona.

CVE-2026-42073
Medium

OpenClaude to interfejs wiersza poleceń dla dostawców modeli w chmurze i lokalnych. W wersjach przed 0.5.1, proces uwierzytelniania OpenClaude MCP uruchamia tymczasowy lokalny serwer HTTP do obsługi callbacków OAuth, który ma lukę logiczną umożliwiającą atakującemu ominięcie weryfikacji parametru stanu.

CVE-2026-40713
Medium

Dell ThinOS 10, w wersjach wcześniejszych niż ThinOS10 2602_10.0765, zawiera podatność na niewłaściwą kontrolę dostępu. Nieautoryzowany atakujący z fizycznym dostępem może wykorzystać tę podatność, co prowadzi do ujawnienia informacji.

CVE-2026-40571
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności postów na prywatnych lub zablokowanych profilach. Umożliwia to uwierzytelnionym użytkownikom o niskich uprawnieniach dodawanie reakcji do postów na prywatnych profilach.

CVE-2026-40314
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 plik `core/classes/Misc/ProfilePostReactionContext.php` jedynie weryfikuje istnienie postu na ścianie, nie egzekwując widoczności zablokowanych/profilów prywatnych. Wersja 2.2.5 naprawia ten problem.

CVE-2026-35447
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4 strona profilu (modules/Core/pages/profile.php) przetwarza zgłoszenia postów na ścianie i odpowiedzi przed weryfikacją, czy użytkownik ma uprawnienia do dostępu do profilu, co pozwala na publikowanie postów na prywatnych profilach przez użytkowników z uprawnieniem profile.post.

CVE-2026-35443
Medium

NamelessMC to oprogramowanie do stron internetowych dla serwerów Minecraft. W wersji 2.2.4, plik `modules/Forum/classes/ForumPostReactionContext.php` jedynie weryfikuje, czy wywołujący może przeglądać forum, ale nie egzekwuje autoryzacji na poziomie tematów `view_other_topics`. W rezultacie, w forach, gdzie użytkownicy mogą wchodzić, ale mogą przeglądać tylko swoje tematy, reakcje mogą być nadal odczytywane i modyfikowane na tematach innych użytkowników.

CVE-2026-33244
Medium

React Router w wersjach od 7.5.1 do 7.13.1 ma lukę, która pozwala na Cross-Site Scripting (XSS) w statycznie generowanych plikach HTML, gdy używany jest tryb Framework z włączonym pre-renderingiem i nieodpowiednio zneutralizowaną wartością nagłówka HTTP `Location`. Problem ten nie dotyczy aplikacji korzystających z trybu Deklaratywnego lub trybu Danych.

CVE-2026-1871
Medium

TP-Link Tapo C200 v5 zawiera lukę typu przepełnienie bufora na stosie w obsłudze uwierzytelniania RTSP, spowodowaną niewłaściwą walidacją długości pól nagłówka Authorization. Można ją wywołać za pomocą spreparowanego żądania uwierzytelniającego.

CVE-2026-9590
Medium

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w komponencie walidacji uprawnień, która pozwala uwierzytelnionemu użytkownikowi z uprawnieniami do edytowania wpisów na modyfikację informacji o zasobach bez wymaganych uprawnień.

CVE-2026-9522
Medium

W Devolutions Server 2026.1.19 i wcześniejszych wersjach występuje niewłaściwa kontrola dostępu w funkcji odkrywania kont PAM, co pozwala uwierzytelnionemu użytkownikowi bez uprawnień administracyjnych na usunięcie konfiguracji skanowania odkrywania sieci.

CVE-2026-7299
Medium

Funkcjonalność autouzupełniania edytora zapytań SQL w Appsmith nie sanitizuje nazw obiektów bazy danych przed ich renderowaniem w innerHTML. Umożliwia to uwierzytelnionemu deweloperowi wstrzyknięcie trwałego XSS za pomocą złośliwych nazw tabel lub kolumn, co prowadzi do wykonania dowolnego kodu w sesjach innych członków workspace'u, gdy wchodzą w interakcję z tym samym źródłem danych.

CVE-2026-49753
Medium

Podatność CVE-2026-49753 dotyczy niekonsekwentnej interpretacji żądań HTTP w elixir-mint, co pozwala atakującym na desynchronizację ramki odpowiedzi na współdzielonych połączeniach. Parser Content-Length w Mint akceptuje wartości z prefiksem + lub -, co jest niezgodne z RFC 7230.

CVE-2026-45684
Medium

OpenTelemetry eBPF Instrumentation w wersjach od 0.7.0 do przed 0.9.0 ma problem z niewłaściwym przetwarzaniem buforów writev przez log enricher OBI, który odczytuje tylko pierwszy wpis iovec, ale używa całkowitej długości iov_iter.count jako długości kopiowania. W przypadku włączonego wstrzykiwania logów, złośliwe wywołanie writev może spowodować odczyt i nadpisanie pamięci poza pierwszym segmentem.

CVE-2026-45682
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 zawierał problem z CappedConcurrentHashMap, który nie usuwał kluczy z kolejki przy wstawianiu, gdy wpisy były usuwane. W długoterminowych uruchomieniach JVM może to prowadzić do nieograniczonego wzrostu kolejki i wyczerpania pamięci sterty.

CVE-2026-45681
Medium

OpenTelemetry eBPF Instrumentation przed wersją 0.9.0 używa 256-bajtowego bufora zapasowego, ale zachowuje oryginalny rozmiar ładunku, który może wynosić do 8KB. W przypadku niezgodności CPU, OBI może odczytać dane poza buforem zapasowym, co prowadzi do wycieku pamięci sąsiedniej do telemetrii.

PreviousPage 187 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS