CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W kilku funkcjach pliku ubsan_throwing_runtime.cpp występuje możliwe trwałe zablokowanie usługi z powodu przepełnienia całkowitego. Może to prowadzić do zdalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W wielu funkcjach AccessibilityManagerService.java występuje możliwe trwałe zablokowanie usługi z powodu niewłaściwej walidacji danych wejściowych. Może to prowadzić do lokalnego zablokowania usługi bez potrzeby dodatkowych uprawnień wykonawczych.
W metodzie isSameApp w NotificationManagerService.java występuje możliwe trwałe zablokowanie usługi z powodu wyczerpania zasobów. Może to prowadzić do lokalnego odmowy usługi bez potrzeby dodatkowych uprawnień wykonawczych.
A denial-of-service vulnerability in Dräger Infinity Delta, Delta XL, and Kappa patient monitors allows remote attackers to cause a device reboot by sending a malformed network packet. Repeated attacks can disrupt patient monitoring until the device falls back to default configuration and loses network connectivity.
ZeusCart 4.0 zawiera podatność typu cross-site request forgery, która umożliwia atakującym wykonywanie nieautoryzowanych działań w imieniu ofiar poprzez tworzenie złośliwych żądań. Atakujący mogą dezaktywować konta klientów za pomocą interfejsu administracyjnego, wprowadzając użytkowników w błąd, aby odwiedzili strony kontrolowane przez atakujących.
Endpoint DeepAI 'https://api.deepai.org/change_user_email' akceptuje żądania POST bez jakiejkolwiek ochrony przed CSRF. Atakujący może zmusić zalogowanego użytkownika do kliknięcia w złośliwy link, co pozwoli mu na zmianę adresu e-mail użytkownika i przejęcie jego konta.
Nanobot przed wersją 0.2.1 zawiera podatność na odmowę usługi w obsłudze pobierania mediów kanału Matrix, która pozwala uwierzytelnionym członkom pokoju na wyczerpanie pamięci procesora i pasma, wysyłając zdarzenia multimedialne z brakującymi lub nieprawidłowymi metadanymi rozmiaru. Atakujący mogą wysyłać wiele równoczesnych zdarzeń multimedialnych Matrix z pominiętymi lub nieprawidłowymi zadeklarowanymi rozmiarami, co prowadzi do jednoczesnych dużych pobrań mediów.
Nanobot w wersjach przed 0.2.1 zawiera podatność typu server-side request forgery w narzędziu web_fetch, która pozwala zdalnym atakującym na dostęp do wewnętrznych lub prywatnych hostów sieciowych. Atakujący mogą wykorzystać automatyczne przekierowanie HTTP, aby obejść początkową walidację URL i wysłać żądania do wewnętrznych hostów.
W systemie rezerwacji hotelowej i turystycznej w wersji 1.0 odkryto lukę bezpieczeństwa. Manipulacja argumentami name, email, people oraz number w pliku /ht/tour.php prowadzi do ataku typu cross-site scripting (XSS).
W systemie płacowym CodeAstro w wersji 1.0 odkryto podatność, która dotyczy nieznanej części pliku /home_employee.php. Manipulacja argumentem emp_id prowadzi do wstrzykiwania SQL, co może być przeprowadzone zdalnie.
W projekcie DevaslanPHP w wersjach do 2.0.0-beta1 zidentyfikowano podatność w funkcji KanbanScrumHelper::recordUpdated w pliku app/Helpers/KanbanScrumHelper.php. Problem ten prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W projekcie DevaslanPHP do wersji 2.0.0-beta1 wykryto lukę w funkcji editComment/doDeleteComment w pliku app/Filament/Resources/TicketResource/Pages/ViewTicket.php komponentu Livewire Handler. Wykonanie manipulacji może prowadzić do niewłaściwej autoryzacji.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 31.0.0 do przed 31.0.12 oraz od 32.0.0 do przed 32.0.3 brakowało sprawdzenia relacji, co pozwalało uwierzytelnionym użytkownikom z dostępem do komentarzy plików na odczytanie treści wszystkich komentarzy.
W silniku grafiki wektorowej Thor Vector Graphics (ThorVG) przed wersją 1.0.5 występowała podatność na dereferencję wskaźnika null w funkcji SvgLoader::run(). Umożliwia to każdemu, kto przekaże nieufne dane SVG do Picture::load(), spowodowanie awarii procesu przy użyciu 6-bajtowego ładunku.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, sesyjny cookie przed weryfikacją dwuetapową (utworzony po pomyślnej autoryzacji hasłem, ale przed zakończeniem TOTP) mógł być ponownie użyty jako token Bearer do autoryzacji w punktach końcowych DAV, co umożliwiało dostęp do odczytu/zapisu oraz omijanie obowiązkowej weryfikacji dwuetapowej.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach serwera Nextcloud od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3 wystąpiła podatność na obejście uwierzytelniania, która pozwalała atakującym, znającym hasło użytkownika, na ominięcie zabezpieczeń dwuetapowego uwierzytelniania (2FA).
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 0.8.0 do przed 1.0.4 kryteria filtrów widoku są dostępne dla użytkowników z uprawnieniami tylko do odczytu w tabelach Nextcloud. Problem został naprawiony w wersjach 1.0.4 i 2.0.0.
Nextcloud to platforma do współpracy nad treścią typu open source. W wersjach od 4.3.0 do przed 5.2.7, usunięty współpracownik zachowuje nieautoryzowany dostęp do przesłanych plików odpowiedzi dla dotkniętego formularza. Problem ten został naprawiony w wersji 5.2.7.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 5.5.13 do przed 5.5.17 oraz 6.2.0 do przed 6.2.3, uwierzytelniony użytkownik mógł enumerować użytkowników na tej samej instancji Nextcloud, korzystając z punktu końcowego aplikacji Kalendarz do sugerowania uczestników. Ograniczenia udostępniania, stosowane w innych punktach końcowych, nie były tutaj skuteczne.
Nextcloud to otwartoźródłowa platforma do współpracy nad treścią. W wersjach od 32.0.0 do przed 32.0.9 oraz od 33.0.0 do przed 33.0.3, podczas udostępniania folderu lub pliku zespołowi Nextcloud z członkiem zewnętrznym, system automatycznie tworzy publiczny link, który nie jest widoczny dla właściciela folderu.

