CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-2575
Medium

W Keycloak znaleziono lukę, która pozwala nieautoryzowanemu zdalnemu atakującemu wywołać atak typu Denial of Service (DoS) na poziomie aplikacji. Atakujący może to osiągnąć, wysyłając mocno skompresowane żądanie SAML przez SAML Redirect Binding, co prowadzi do błędu OutOfMemoryError (OOM) i zakończenia procesu.

CVE-2026-4324
Medium

Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.

CVE-2025-2274
Medium

Nieprawidłowa neutralizacja danych wejściowych podczas generowania stron internetowych w Forcepoint Web Security (On-Prem) na systemie Windows umożliwia wystąpienie ataku typu Stored XSS. Problem ten dotyczy wersji Web Security do 8.5.6.

CVE-2026-3442
Medium

A heap-based buffer overflow (out-of-bounds read) vulnerability was found in the bfd linker component of GNU Binutils. An attacker could exploit this by convincing a user to process a specially crafted malicious XCOFF object file.

CVE-2026-3441
Medium

A heap-based buffer overflow vulnerability (out-of-bounds read) was found in the bfd linker of GNU Binutils. An attacker can exploit a specially crafted XCOFF object file to access sensitive information or cause an application-level denial of service.

CVE-2026-3227
MediumEPSS 62%

A command injection vulnerability was found in TP-Link TL-WR802N v4, TL-WR841N v14, and TL-WR840N v6 routers. The configuration import function allows an authenticated attacker to upload a crafted configuration file, leading to OS command execution with root privileges during port-trigger processing.

CVE-2026-20994
Medium

Wersje Samsung Account przed 15.5.01.1 zawierają lukę w przekierowaniu URL, która może umożliwić lokalnym atakującym uzyskanie tokena dostępu.

CVE-2016-20031
Medium

ZKTeco ZKBioSecurity 3.0 contains a local authorization bypass vulnerability in visLogin.jsp that allows attackers to authenticate without valid credentials by spoofing localhost requests.

CVE-2016-20029
Medium

ZKTeco ZKBioSecurity 3.0 contains a file path manipulation vulnerability that allows attackers to access arbitrary files by modifying file paths used to retrieve local resources.

CVE-2016-20028
Medium

ZKTeco ZKBioSecurity 3.0 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious websites. Attackers can craft HTTP requests that add superadmin accounts without validity checks, enabling unauthorized administrative access.

CVE-2016-20027
Medium

ZKTeco ZKBioSecurity 3.0 contains multiple reflected XSS vulnerabilities that allow attackers to execute arbitrary HTML and script code by injecting malicious payloads through unsanitized parameters in multiple scripts.

CVE-2026-2673
Medium

Serwer OpenSSL TLS 1.3 może nie negocjować preferowanej grupy wymiany kluczy, gdy jego konfiguracja grupy wymiany kluczy zawiera domyślną wartość 'DEFAULT'. W wyniku tego może być używana mniej preferowana grupa, nawet jeśli zarówno klient, jak i serwer obsługują bardziej preferowaną grupę.

CVE-2025-57849
Medium

W niektórych obrazach Fuse odkryto lukę umożliwiającą eskalację uprawnień w kontenerze. Problem wynika z pliku /etc/passwd, który jest tworzony z uprawnieniami do zapisu dla grupy podczas budowy, co pozwala atakującemu na modyfikację tego pliku.

CVE-2025-15515
Medium

Mechanizm uwierzytelniania w module EasyShare zawiera podatność. W przypadku spełnienia określonych warunków w lokalnej sieci, może dojść do wycieku danych.

CVE-2026-2376
Medium

W systemie mirror-registry znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na oszukanie systemu w celu uzyskania dostępu do niezamierzonych wewnętrznych lub zastrzeżonych systemów poprzez podanie złośliwych adresów internetowych. Aplikacja automatycznie podąża za przekierowaniami bez weryfikacji ostatecznego celu.

CVE-2025-66955
Medium

Local File Inclusion vulnerability in Contact Plan, E-Mail, SMS and Fax components of Asseco SEE Live 2.0 allows remote authenticated users to access files on the host via the "path" parameter in downloadAttachment and downloadAttachmentFromPath API calls.

CVE-2025-61154
Medium

W podatności CVE-2025-61154 występuje przepełnienie bufora na stercie w wersjach LibreDWG od v0.13.3.7571 do v0.13.3.7835. Złośliwie przygotowany plik DWG może spowodować awarię usługi (DoS) poprzez funkcję decompress_R2004_section w pliku decode.c.

CVE-2025-13913
Medium

Użytkownik z uprawnieniami w Ignition może zaimportować zewnętrzny plik z specjalnie przygotowanym ładunkiem, co prowadzi do wykonania osadzonego złośliwego kodu.

CVE-2026-20117
Medium

A vulnerability in the web-based management interface of Cisco Unified Contact Center Express (Unified CCX) allows an unauthenticated, remote attacker to perform cross-site scripting (XSS) attacks against a user of the interface. The issue is due to insufficient validation of user-supplied input.

CVE-2026-3784
Medium

Podatność CVE-2026-3784 dotyczy narzędzia curl, które błędnie ponownie wykorzystuje istniejące połączenie HTTP proxy podczas wykonywania żądania CONNECT do serwera, nawet jeśli nowe żądanie używa innych poświadczeń dla proxy. Oczekiwane zachowanie to utworzenie lub użycie oddzielnego połączenia.

PreviousPage 250 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS