CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-45081
Medium

Frappe HR to otwartoźródłowe rozwiązanie do zarządzania zasobami ludzkimi. Przed wersją 16.5.0, uwierzytelnieni pracownicy mogli uzyskać dostęp do szczegółów urlopów innych pracowników z powodu niewłaściwych kontroli autoryzacji.

CVE-2026-42328
Medium

go-ipld-prime to implementacja specyfikacji InterPlanetary Linked Data (IPLD), która przed wersją 0.23.0 miała problem z dekodowaniem DAG-CBOR i DAG-JSON. Dekodery te nie miały limitu głębokości rekurencji, co prowadziło do przepełnienia stosu w przypadku głęboko zagnieżdżonych kolekcji.

CVE-2025-67903
Medium

Klient Northern.tech Mender w wersji 5 przed 5.0.4 umożliwia obejście weryfikacji podpisu kryptograficznego. To może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2026-44353
Medium

Streamlink to narzędzie CLI, które przesyła strumienie wideo z różnych usług do odtwarzacza wideo. W wersjach przed 8.4.0, parsery HLS i DASH w Streamlink nie weryfikowały schematu URI segmentów i innych zasobów, co pozwalało na wczytanie lokalnych plików z nieautoryzowanych źródeł.

CVE-2026-42081
Medium

Free5GC to otwartoźródłowa implementacja rdzenia sieci 5G. W wersjach przed 4.2.2, AMF w Free5GC nie weryfikuje zdolności zabezpieczeń UE otrzymywanych w wiadomościach NGAP PathSwitchRequest, co pozwala złośliwemu gNB na nadpisanie tych wartości, prowadząc do odmowy usługi przenoszenia dla dotkniętych UE.

CVE-2026-38931
Medium

A stored cross-site scripting (XSS) vulnerability was found in the /admin/config-module.php component of the simplephp project (commit 5184cff). An attacker can inject a malicious JavaScript payload that will be executed in administrators' browsers.

CVE-2026-38930
Medium

An authentication bypass vulnerability was discovered in OpenRapid RapidCMS v1.3.1 within the /template/default/menu.php component. The flaw is exploited by injecting a crafted SQL payload into the 'name' cookie parameter.

CVE-2025-70116
Medium

W GPAC MP4Box występuje dereferencja wskaźnika NULL podczas analizy niektórych skróconych plików MP4. Nieznany lub nieprawidłowy wpis stsd może prowadzić do brakujących pól deskryptora, co skutkuje wywołaniem strlen() na wskaźniku NULL i powoduje awarię.

CVE-2026-48926
Medium

Wtyczka Jenkins Job Import w wersji 143.v044a_2e819b_27 i wcześniejszych nie przeprowadza weryfikacji uprawnień w jednym z punktów końcowych HTTP, co pozwala atakującym z uprawnieniami Overall/Read na enumerację identyfikatorów poświadczeń przechowywanych w Jenkins.

CVE-2026-48917
Medium

Wtyczka LDAP dla Jenkins w wersji 807.v7d7de30930cf i wcześniejszych deserializuje dane z odniesień LDAP bez walidacji. Może to prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-48916
Medium

Wtyczka LDAP dla Jenkins w wersji 807.v7d7de30930cf i wcześniejszych obsługuje odwołania LDAP. Może to prowadzić do nieautoryzowanego dostępu do zasobów w systemie.

CVE-2026-48545
Medium

Gradio przed wersją 6.15.0 zawiera podatność na wstrzykiwanie ciasteczek, która pozwala zdalnym atakującym na przeprowadzenie ataku typu cross-Space session fixation. Atakujący mogą wykorzystać wspólny modułowy klient HTTP, aby wprowadzić ciasteczko domeny nadrzędnej, które jest przechowywane i automatycznie odtwarzane w kolejnych żądaniach proxy do innych legalnych Spaces.

CVE-2026-45571
Medium

go-git to rozszerzalna biblioteka implementacji Gita napisana w czystym Go. Przed wersjami 5.19.1 i 6.0.0-alpha.4 występował problem z walidacją ścieżek, który mógł pozwolić na wpływanie na pliki poza zamierzonym celem checkoutu, w tym na katalog .git repozytorium.

CVE-2026-44972
Medium

GuardDog to narzędzie CLI służące do identyfikacji złośliwych pakietów PyPI. W wersjach od 2.6.0 do 2.9.0, GuardDog zawiera kontrolowane przez atakującego nazwy plików, lokalizacje plików, komunikaty i fragmenty kodu w domyślnym czytelnym dla ludzi wyjściu, nie stosując ucieczki znaków kontrolnych terminala.

CVE-2026-44839
Medium

RabbitMQ, broker wiadomości i strumieniowania, ma podatność, która występuje w wersjach od 3.7.0 do przed 4.1.2 oraz 4.0.13. Podatność ta została naprawiona w wersjach 4.1.2 i 4.0.13.

CVE-2026-9704
Medium

A flaw was found in Keycloak where an authenticated user with low privileges can send an oversized JWT token to the TokenEndpoint. When the token exceeds 4000 characters, it is silently dropped, causing the system to fall back to client credentials, allowing privilege escalation.

CVE-2026-9617
Medium

PostgreSQL Anonymizer zawiera podatność, która pozwala użytkownikowi uzyskać uprawnienia superużytkownika poprzez stworzenie tabeli i umieszczenie złośliwego kodu w identyfikatorze kolumny. Jeśli superużytkownik wywoła funkcję k-anonimizacji, złośliwy kod zostanie wykonany z uprawnieniami superużytkownika.

CVE-2026-9035
Medium

IBM Aspera High-Speed Transfer Endpoint w wersjach od 3.7.4 do 4.4.7 Fix Pack 1 oraz IBM Aspera High-Speed Transfer Server w tych samych wersjach są podatne na potencjalne nieautoryzowane odczyty plików w komponencie asperahttpd. Użytkownik z autoryzacją może wykorzystać tę podatność do uzyskania dostępu do plików w lokalnym magazynie serwera, do których nie powinien mieć dostępu.

CVE-2026-8405
Medium

Funkcja 'Long Term Retention' (LTR) w IBM Guardium Data Protection w wersjach 12.2.1 i 12.2.2 może ujawniać wrażliwe dane uwierzytelniające w trybie debugowania. To stwarza ryzyko nieautoryzowanego dostępu do poufnych informacji.

CVE-2026-7254
Medium

IBM OPENBMC w wersjach FW1110.00 do FW1110.11 jest podatny na ataki typu denial of service (DoS) ze strony nieautoryzowanych użytkowników sieciowych.

PreviousPage 212 of 558Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS