CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Drupal avatar_uploader w wersji 7.x-1.0-beta8 zawiera podatność na refleksyjny atak typu cross-site scripting, która pozwala nieautoryzowanym atakującym na wstrzykiwanie złośliwych skryptów poprzez manipulację parametrem pliku. Atakujący mogą tworzyć adresy URL z ładunkami skryptów w parametrze pliku, co umożliwia wykonanie dowolnego kodu JavaScript w przeglądarkach ofiar.
In the Vim text editor prior to version 9.2.0450, a heap buffer overflow exists in read_compound() when loading a crafted spell file (.spl) with UTF-8 encoding active. A malicious file can exploit an attacker-controlled length field, leading to buffer overflow.
OpenMcdf to biblioteka .NET / C# do manipulacji plikami w formacie Compound File Binary. W wersjach przed 3.1.3 nie wykrywa cykli w drzewie czerwono-czarnym wpisów katalogowych, co może prowadzić do nieskończonej pętli przy przetwarzaniu plików CFB z cyklem w łańcuchu LeftSiblingID / RightSiblingID.
A vulnerability in the Linux kernel related to the lifecycle of the network device has been fixed, where the network device outlived its parent gadget device during disconnection, leading to sysfs link issues and null pointer dereference problems.
A vulnerability was found in the Linux kernel's bh1780 light sensor driver, causing a PM runtime reference count leak on the error path. The issue occurs because pm_runtime_put_autosuspend() is not called when a read operation fails, leading to improper power management state.
Aplikacja Password Pusher, służąca do komunikacji wrażliwych informacji w sieci, miała problem z bezpieczeństwem, który pozwalał na nieautoryzowane tworzenie przesyłek plikowych przez ogólny interfejs API JSON w określonych konfiguracjach. Problem ten został naprawiony w wersjach 1.69.3 i 2.4.2.
A vulnerability has been identified in the Linux kernel related to the load_segments() function, which invalidates the GS base relied upon by KCOV. When CONFIG_KCOV is enabled, calls to instrumented C code can lead to kernel crashes in an endless loop.
W jądrze Linuxa naprawiono podatność związaną z inwersją blokady między mutexami spi_lock i buf_lock w sterowniku spidev. Problem ten mógł prowadzić do zakleszczeń z powodu różnego porządku nabywania blokad w różnych ścieżkach kodu.
A vulnerability has been identified in the Linux kernel related to the call of the generic_handle_irq() function in a non-interrupt context. This issue occurs when resuming the system from suspend on Tegra platforms, leading to a warning in the logs.
Wykryto podatność w 8421bit MiniClaw, dotycząca funkcji executeCognitivePulse w pliku src/kernel.ts. Manipulacja tą funkcją prowadzi do zdalnego wstrzyknięcia poleceń systemowych.
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 4.0.8, tokeny interpolacji {{key}} w atrybutach src i href są zastępowane surowym ciągiem zwracanym przez i18next.t(), co może prowadzić do wstrzyknięcia niebezpiecznych wartości, takich jak javascript:alert(1).
i18nextify to biblioteka JavaScript, która umożliwia internacjonalizację stron internetowych bez zmian w kodzie źródłowym. W wersjach przed 3.0.5 wartości lng i ns są interpolowane bez odpowiedniego kodowania, walidacji lub sanitizacji, co pozwala na wstrzykiwanie złośliwych danych przez użytkowników.
manage.get.gov is the .gov TLD registrar maintained by CISA, allowing an organization administrator to assign domain manager privileges for domains not already in another organization.
A Cross-Site Scripting (XSS) vulnerability was found in PHPGurukal Hospital Management System v4.0 in the /hospital/hms/edit-profile.php page. An authenticated attacker (patient) can inject a malicious script into the User Name parameter, which is stored and later rendered in the doctor's interface.
A Remote Code Execution vulnerability was found in CODEASTRO Membership Management System v1.0 in /add_members.php. Improper file sanitization allows attackers to inject malicious files, leading to RCE.
In MISP versions before 2.5.37, there is a stored XSS vulnerability due to improper neutralization of input during web page generation. An attacker can input malicious values in the type and category fields of template element attributes.
A vulnerability in an identity management API endpoint of Cisco ISE allows an unauthenticated, remote attacker to enumerate valid user accounts on an affected device. The issue exists due to observable error messages when the API endpoint is called.
A vulnerability in the RADIUS Policy API endpoints of Cisco ISE allows an authenticated, remote attacker with read-only Administrator privileges to gain unauthorized access to sensitive information. This is due to improper role-based access control (RBAC) permissions on these API endpoints.
A vulnerability in the log file download functionality of Cisco Prime Infrastructure allows an authenticated, remote attacker to download arbitrary log files from the server. This is due to insufficient authorization checks on the download service API.
A vulnerability in the web-based management interface of Cisco IoT Field Network Director allows an authenticated, remote attacker with low privileges to access files and execute commands on a remote router. This is due to insufficient input validation of user-supplied data.

