CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
W Keycloak znaleziono lukę, która pozwala nieautoryzowanemu zdalnemu atakującemu wywołać atak typu Denial of Service (DoS) na poziomie aplikacji. Atakujący może to osiągnąć, wysyłając mocno skompresowane żądanie SAML przez SAML Redirect Binding, co prowadzi do błędu OutOfMemoryError (OOM) i zakończenia procesu.
Wtyczka Katello dla Red Hat Satellite zawiera lukę, która wynika z niewłaściwego oczyszczania danych wejściowych dostarczanych przez użytkowników. Umożliwia to zdalnemu atakującemu wstrzykiwanie dowolnych poleceń SQL do parametru sort_by w punkcie końcowym API /api/hosts/bootc_images.
Nieprawidłowa neutralizacja danych wejściowych podczas generowania stron internetowych w Forcepoint Web Security (On-Prem) na systemie Windows umożliwia wystąpienie ataku typu Stored XSS. Problem ten dotyczy wersji Web Security do 8.5.6.
A heap-based buffer overflow (out-of-bounds read) vulnerability was found in the bfd linker component of GNU Binutils. An attacker could exploit this by convincing a user to process a specially crafted malicious XCOFF object file.
A heap-based buffer overflow vulnerability (out-of-bounds read) was found in the bfd linker of GNU Binutils. An attacker can exploit a specially crafted XCOFF object file to access sensitive information or cause an application-level denial of service.
A command injection vulnerability was found in TP-Link TL-WR802N v4, TL-WR841N v14, and TL-WR840N v6 routers. The configuration import function allows an authenticated attacker to upload a crafted configuration file, leading to OS command execution with root privileges during port-trigger processing.
Wersje Samsung Account przed 15.5.01.1 zawierają lukę w przekierowaniu URL, która może umożliwić lokalnym atakującym uzyskanie tokena dostępu.
ZKTeco ZKBioSecurity 3.0 contains a local authorization bypass vulnerability in visLogin.jsp that allows attackers to authenticate without valid credentials by spoofing localhost requests.
ZKTeco ZKBioSecurity 3.0 contains a file path manipulation vulnerability that allows attackers to access arbitrary files by modifying file paths used to retrieve local resources.
ZKTeco ZKBioSecurity 3.0 contains a cross-site request forgery vulnerability that allows attackers to perform administrative actions by tricking logged-in users into visiting malicious websites. Attackers can craft HTTP requests that add superadmin accounts without validity checks, enabling unauthorized administrative access.
ZKTeco ZKBioSecurity 3.0 contains multiple reflected XSS vulnerabilities that allow attackers to execute arbitrary HTML and script code by injecting malicious payloads through unsanitized parameters in multiple scripts.
Serwer OpenSSL TLS 1.3 może nie negocjować preferowanej grupy wymiany kluczy, gdy jego konfiguracja grupy wymiany kluczy zawiera domyślną wartość 'DEFAULT'. W wyniku tego może być używana mniej preferowana grupa, nawet jeśli zarówno klient, jak i serwer obsługują bardziej preferowaną grupę.
W niektórych obrazach Fuse odkryto lukę umożliwiającą eskalację uprawnień w kontenerze. Problem wynika z pliku /etc/passwd, który jest tworzony z uprawnieniami do zapisu dla grupy podczas budowy, co pozwala atakującemu na modyfikację tego pliku.
Mechanizm uwierzytelniania w module EasyShare zawiera podatność. W przypadku spełnienia określonych warunków w lokalnej sieci, może dojść do wycieku danych.
W systemie mirror-registry znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na oszukanie systemu w celu uzyskania dostępu do niezamierzonych wewnętrznych lub zastrzeżonych systemów poprzez podanie złośliwych adresów internetowych. Aplikacja automatycznie podąża za przekierowaniami bez weryfikacji ostatecznego celu.
Local File Inclusion vulnerability in Contact Plan, E-Mail, SMS and Fax components of Asseco SEE Live 2.0 allows remote authenticated users to access files on the host via the "path" parameter in downloadAttachment and downloadAttachmentFromPath API calls.
W podatności CVE-2025-61154 występuje przepełnienie bufora na stercie w wersjach LibreDWG od v0.13.3.7571 do v0.13.3.7835. Złośliwie przygotowany plik DWG może spowodować awarię usługi (DoS) poprzez funkcję decompress_R2004_section w pliku decode.c.
Użytkownik z uprawnieniami w Ignition może zaimportować zewnętrzny plik z specjalnie przygotowanym ładunkiem, co prowadzi do wykonania osadzonego złośliwego kodu.
A vulnerability in the web-based management interface of Cisco Unified Contact Center Express (Unified CCX) allows an unauthenticated, remote attacker to perform cross-site scripting (XSS) attacks against a user of the interface. The issue is due to insufficient validation of user-supplied input.
Podatność CVE-2026-3784 dotyczy narzędzia curl, które błędnie ponownie wykorzystuje istniejące połączenie HTTP proxy podczas wykonywania żądania CONNECT do serwera, nawet jeśli nowe żądanie używa innych poświadczeń dla proxy. Oczekiwane zachowanie to utworzenie lub użycie oddzielnego połączenia.

