CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-22844
Critical

W podatności typu Command Injection w routerach multimedialnych Zoom (MMR) przed wersją 5.2.1716.0, uczestnik spotkania może zdalnie wykonać kod na MMR poprzez dostęp sieciowy.

CVE-2025-14533
Critical

Wtyczka Advanced Custom Fields: Extended dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 0.9.2.1 włącznie. Problem wynika z funkcji 'insert_user', która nie ogranicza ról, z jakimi użytkownik może się rejestrować.

CVE-2026-1221
Critical

Kontroler PrismX MX100 AP opracowany przez BROWAN COMMUNICATIONS ma podatność na użycie twardo zakodowanych poświadczeń, co pozwala nieautoryzowanym zdalnym atakującym na zalogowanie się do bazy danych przy użyciu twardo zakodowanych poświadczeń przechowywanych w oprogramowaniu układowym.

CVE-2026-23947
Critical

Orval generuje typowo bezpieczne klienty JS (TypeScript) z dowolnej ważnej specyfikacji OpenAPI v3 lub Swagger v2. Wersje przed 7.19.0 do 8.0.2 są podatne na wykonanie dowolnego kodu w środowiskach korzystających z generowanych klientów, co pozwala na wstrzykiwanie nieautoryzowanego kodu TypeScript/JavaScript.

CVE-2026-23944
Critical

Arcane to interfejs do zarządzania kontenerami Docker, obrazami, sieciami i wolumenami. W wersjach przed 1.13.2, nieautoryzowane żądania mogły być przekazywane do zdalnych agentów środowiskowych, co umożliwiało dostęp do zasobów zdalnych środowisk bez autoryzacji.

CVE-2026-23837
Critical

MyTube to samodzielny odtwarzacz i pobieracz wideo, w wersji 1.7.65 i potencjalnie wcześniejszych, występuje podatność, która pozwala nieautoryzowanym użytkownikom na ominięcie obowiązkowej weryfikacji uwierzytelnienia. Problem ten umożliwia atakującym dostęp do ustawień aplikacji oraz modyfikację haseł administracyjnych i użytkowników.

CVE-2026-23841
Critical

Movary to aplikacja internetowa do śledzenia, oceniania i eksplorowania historii oglądania filmów. Z powodu niewystarczającej walidacji danych wejściowych, atakujący mogą wywołać ładunki skryptów międzywitrynowych w wersjach przed 0.70.0. Wersja 0.70.0 naprawia ten problem.

CVE-2026-23840
Critical

Movary to aplikacja internetowa do śledzenia, oceniania i eksplorowania historii oglądania filmów. Z powodu niewystarczającej walidacji danych wejściowych, atakujący mogą wywołać ładunki skryptów międzywitrynowych w wersjach przed 0.70.0. Wersja 0.70.0 naprawia ten problem.

CVE-2026-23839
Critical

Movary to aplikacja internetowa do śledzenia, oceniania i eksplorowania historii oglądania filmów. Z powodu niewystarczającej walidacji danych wejściowych, atakujący mogą wywołać ładunki skryptów międzywitrynowych w wersjach przed 0.70.0. Wersja 0.70.0 naprawia ten problem.

CVE-2026-23884
Critical

In FreeRDP prior to version 3.21.0, offscreen bitmap deletion leaves `gdi->drawing` pointing to freed memory, causing a use-after-free (UAF) when related update packets arrive. A malicious server can trigger a client-side use after free, causing a crash (DoS) and potential heap corruption with code-execution risk depending on allocator behavior and surrounding heap layout.

CVE-2026-23883
Critical

In FreeRDP prior to version 3.21.0, the `xf_Pointer_New` function frees `cursorPixels` on failure, then `pointer_free` calls `xf_Pointer_Free` and frees it again, triggering a use-after-free (UAF) detected by ASan. A malicious server can trigger this client-side vulnerability, causing a crash (DoS) and potential heap corruption that may lead to code execution depending on the allocator behavior and heap layout.

CVE-2026-23836
Critical

HotCRP to oprogramowanie do recenzji konferencyjnych. W wersji 3.1, wydanej w kwietniu 2024 roku, wprowadzono problem związany z niewłaściwie sanitizowanym generowaniem kodu dla formuł HotCRP, co umożliwiło użytkownikom wywołanie wykonania dowolnego kodu PHP. Problem został naprawiony w wersji 3.2.

CVE-2026-23534
Critical

In FreeRDP prior to version 3.21.0, a client-side heap buffer overflow occurs in the ClearCodec bands decode path when crafted band coordinates allow writes past the end of the destination surface buffer.

CVE-2026-23533
Critical

In FreeRDP prior to version 3.21.0, a client-side heap buffer overflow exists in the RDPGFX ClearCodec decode path. Maliciously crafted residual data causes out-of-bounds writes during color output, potentially leading to a crash and code execution.

CVE-2026-22797
Critical

A vulnerability was discovered in OpenStack keystonemiddleware versions 10.5 through 10.7 before 10.7.2, 10.8 and 10.9 before 10.9.1, and 10.10 through 10.12 before 10.12.1. The external_oauth2_token middleware fails to sanitize incoming authentication headers before processing OAuth 2.0 tokens, allowing an attacker to send forged identity headers.

CVE-2026-23532
Critical

In FreeRDP client before version 3.21.0, a heap buffer overflow occurs in the `gdi_SurfaceToSurface` path due to a mismatch between destination rectangle clamping and the actual copy size.

CVE-2026-23531
Critical

In FreeRDP prior to version 3.21.0, in ClearCodec, the `clear_decompress` function calls `freerdp_image_copy_no_overlap` without validating the destination rectangle, allowing an out-of-bounds read/write via crafted RDPGFX surface updates. A malicious server can trigger a client-side heap buffer overflow, causing a crash (DoS) and potential heap corruption with code-execution risk.

CVE-2026-23530
Critical

In FreeRDP prior to version 3.21.0, the `freerdp_bitmap_decompress_planar` function does not validate `nSrcWidth`/`nSrcHeight` against `planar->maxWidth`/`maxHeight` before RLE decode. A malicious server can trigger a client-side heap buffer overflow, causing a crash (DoS) and potential heap corruption with code-execution risk.

CVE-2026-1162
Critical

W UTT HiPER 810 w wersji 1.7.4-141218 znaleziono lukę w funkcji strcpy w pliku /goform/setSysAdm. Manipulacja argumentem passwd1 prowadzi do przepełnienia bufora, co umożliwia zdalne wykorzystanie tej podatności.

CVE-2026-0610
Critical

Podatność typu SQL Injection w module zdalnych sesji w Devolutions Server. Problem dotyczy wersji Devolutions Server od 2025.3.1 do 2025.3.12.

PreviousPage 190 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS