CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-35023
Medium

W wersjach Wimi Teamwork On-Premises przed 8.2.0 występuje podatność na nieautoryzowany dostęp do obiektów w punkcie końcowym preview.php, gdzie parametr item_id nie jest odpowiednio zabezpieczony. Atakujący mogą enumerować sekwencyjne wartości item_id, aby uzyskać dostęp do podglądów obrazów z prywatnych lub grupowych rozmów innych użytkowników.

CVE-2026-30613
Medium

An information disclosure vulnerability in AZIOT 1 Node Smart Switch (16A) with firmware version 1.1.9 is caused by improper access control on the UART debug interface. An attacker with physical access can connect to the UART interface and obtain sensitive information from the serial console without authentication.

CVE-2026-31313
Medium

An authenticated stored XSS vulnerability exists in the creation/editing module of Feehi CMS v2.1.1. Attackers can inject malicious JavaScript or HTML into the Content field, which executes in other users' browsers.

CVE-2026-5590
Medium

A race condition during TCP connection teardown causes tcp_recv() to operate on a released connection. When tcp_conn_search() returns NULL while processing a SYN packet, a NULL pointer from stale context is passed to tcp_backlog_is_full() and dereferenced without validation, leading to a crash.

CVE-2026-5530
Medium

A vulnerability has been found in Ollama up to version 0.18.1 in the Model Pull API component, specifically in the file server/download.go. It allows remote attackers to perform a Server-Side Request Forgery (SSRF) attack through manipulation of an unknown process.

CVE-2026-23469
Medium

W jądrze systemu Linux zidentyfikowano podatność, która dotyczy synchronizacji przerwań przed wstrzymaniem GPU. W przypadku, gdy obsługa przerwań jest w toku na innym rdzeniu CPU, może dojść do awarii jądra podczas próby dostępu do rejestrów GPU.

CVE-2026-23468
Medium

W jądrze Linuxa rozwiązano podatność, która pozwalała na przekazywanie dowolnej liczby wpisów listy BO przez pole bo_number. Wprowadzenie twardego limitu 128 tys. wpisów na listę BO zapobiega atakom na wyczerpanie pamięci oraz zapewnia przewidywalną wydajność.

CVE-2026-23442
Medium

W jądrze Linuxa rozwiązano podatność polegającą na braku sprawdzenia wartości NULL dla idev w ścieżkach SRv6. Funkcja __in6_dev_get() może zwrócić NULL, gdy urządzenie nie ma konfiguracji IPv6, co może prowadzić do dereferencji wskaźnika NULL.

CVE-2026-35549
Medium

Wykryto problem w serwerze MariaDB przed wersją 11.4.10, 11.5.x do 11.8.x przed 11.8.6 oraz 12.x przed 12.2.2. Jeśli zainstalowany jest wtyczka uwierzytelniająca caching_sha2_password, a niektóre konta użytkowników są skonfigurowane do jej używania, duża paczka może spowodować awarię serwera, ponieważ sha256_crypt_r używa alloca.

CVE-2026-35466
Medium

Podatność XSS w pliku cveInterface.js umożliwia wstrzykiwanie kodu HTML do wyświetlenia, ponieważ cveInterface ufa danym wejściowym z usług API CVE.

CVE-2026-30603
Medium

A vulnerability in the firmware update mechanism of Qianniao QN-L23PA0904 v20250721.1640 allows attackers to gain root access, install backdoors, and exfiltrate data by supplying a crafted iu.sh script contained on an SD card.

CVE-2026-26895
Medium

User enumeration vulnerability in /pwreset.php in osTicket v1.18.2 allows remote attackers to enumerate valid usernames registered in the platform.

CVE-2026-2737
Medium

A vulnerability in Progress Flowmon versions prior to 12.5.8 and 13.0.6 allows an attacker to trick an administrator into clicking a malicious link, potentially triggering unintended actions within their authenticated web session.

CVE-2026-34871
Medium

W Mbed TLS przed wersją 3.6.6 oraz 4.x przed wersją 4.1.0 oraz w TF-PSA-Crypto przed wersją 1.1.0 odkryto problem związany z przewidywalnym ziarnem w generatorze liczb pseudolosowych (PRNG).

CVE-2026-25834
Medium

Mbed TLS w wersjach od 3.3.0 do 3.6.5 oraz w wersji 4.0.0 umożliwia obniżenie poziomu algorytmu. Atakujący może wykorzystać tę podatność do wymuszenia użycia słabszych algorytmów kryptograficznych.

CVE-2026-20174
Medium

A vulnerability in the Metadata update feature of Cisco Nexus Dashboard Insights allows an authenticated, remote attacker to write arbitrary files to the system. The issue is due to insufficient validation of the metadata update file.

CVE-2026-20042
Medium

A vulnerability in the configuration backup feature of Cisco Nexus Dashboard could allow an attacker who has the encryption password and access to Full or Config-only backup files to access sensitive information. This issue exists because authentication details are included in the encrypted backup files.

CVE-2026-29598
Medium

Multiple stored cross-site scripting (XSS) vulnerabilities were discovered in the submit_add_user.asp endpoint of DDSN Interactive Acora CMS v10.7.1. Attackers can inject malicious JavaScript or HTML payloads into the First Name and Last Name parameters, leading to script execution in other users' browsers.

CVE-2026-5273
Medium

Wykorzystanie po zwolnieniu pamięci w CSS w Google Chrome przed wersją 146.0.7680.178 umożliwia zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-2394
Medium

Buffer Over-read vulnerability in RTI Connext Professional (Core Libraries) allows Overread Buffers. This issue affects Connext Professional from 7.4.0 before 7.7.0, from 7.0.0 before 7.3.1.1, from 6.1.0 before 6.1.2.34, from 6.0.0 before 6.0.*, from 5.3.0 before 5.3.*, and from 4.3x before 5.2.*.

PreviousPage 247 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS