CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-13902
Medium

A Cross-site Scripting (CWE-79) vulnerability exists that allows authenticated attackers to execute arbitrary JavaScript in a victim's browser when the victim hovers over a maliciously crafted element on a web server containing the injected payload.

CVE-2025-13901
Medium

A CWE-404 vulnerability exists related to improper resource shutdown or release, which could lead to a partial Denial of Service attack on the Machine Expert protocol. An unauthenticated attacker can send a malicious payload to occupy active communication channels.

CVE-2026-27688
Medium

W wyniku braku sprawdzenia autoryzacji w serwerze aplikacyjnym SAP NetWeaver dla ABAP, uwierzytelniony atakujący z uprawnieniami użytkownika mógł odczytać pliki dziennika analizy bazy danych za pomocą konkretnego modułu funkcji RFC. Atakujący z odpowiednimi uprawnieniami do wykonania tego modułu funkcji mógł potencjalnie podnieść swoje uprawnienia i uzyskać dostęp do wrażliwych danych.

CVE-2026-24316
Medium

SAP NetWeaver Application Server dla ABAP udostępnia raport ABAP do celów testowych, który pozwala na wysyłanie żądań HTTP do dowolnych wewnętrznych lub zewnętrznych punktów końcowych. Raport ten jest podatny na atak typu Server-Side Request Forgery (SSRF).

CVE-2026-24309
Medium

W wyniku braku weryfikacji uprawnień w serwerze aplikacji SAP NetWeaver dla ABAP, uwierzytelniony atakujący mógłby wykonać określony moduł funkcji ABAP, aby odczytać, zmodyfikować lub wprowadzić wpisy do tabeli konfiguracyjnej bazy danych systemu ABAP. Zmiana ta może prowadzić do obniżonej wydajności systemu lub przerw w jego działaniu.

CVE-2024-14027
Medium

In the Linux kernel, a vulnerability was found in the fremovexattr() syscall where the error path of strncpy_from_user() misses a fdput() call. This causes a permanent file reference leak, which in multi-threaded processes can lead to kernel memory exhaustion.

CVE-2026-25604
Medium

In AWS Auth Manager, the origin of SAML authentication was taken from the client without verification against the actual instance URL. This allowed gaining access to different instances with potentially different access controls by reusing SAML responses from other instances.

CVE-2025-69653
Medium

Wykonanie spreparowanego wejścia JavaScript w QuickJS w wersji 2025-09-13 może spowodować wewnętrzną awarię asercji, co prowadzi do przerwania działania (SIGABRT) podczas zbierania śmieci. Problem ten został naprawiony w commitcie 1dbba8a88eaa40d15a8a9b70bb1a0b8fb5b552e6 z dnia 2025-12-11.

CVE-2026-2752
Medium

Navtor NavBox allows information disclosure via the /api/ais-data endpoint. A remote, unauthenticated attacker can send crafted requests to trigger an unhandled exception, causing the server to return verbose .NET stack traces.

CVE-2026-29049
Medium

Melange version 0.40.5 and earlier downloads URIs from build configs using io.Copy without any size limit or HTTP client timeout. An attacker-controlled URI in a melange config can cause unbounded disk writes, exhausting disk space on the build runner.

CVE-2026-20025
Medium

Podatność w protokole OSPF oprogramowania Cisco Secure Firewall ASA oraz Cisco Secure FTD może pozwolić uwierzytelnionemu, sąsiedniemu atakującemu na nieoczekiwane przeładowanie urządzenia, co prowadzi do stanu DoS. Wykorzystanie tej podatności wymaga posiadania tajnego klucza OSPF.

CVE-2026-20016
Medium

Podatność w funkcji CLI oprogramowania Cisco FXOS dla Cisco Secure Firewall ASA i Secure FTD może pozwolić uwierzytelnionemu, lokalnemu atakującemu na wykonywanie dowolnych poleceń w systemie operacyjnym z uprawnieniami root. Problem wynika z niewystarczającej walidacji danych wejściowych dostarczanych przez użytkownika.

CVE-2026-20069
Medium

Podatność w komponencie usług webowych VPN oprogramowania Cisco Secure Firewall Adaptive Security Appliance (ASA) oraz Cisco Secure Firewall Threat Defense (FTD) może umożliwić nieautoryzowanemu, zdalnemu atakującemu przeprowadzenie ataków opartych na przeglądarkach przeciwko użytkownikom dotkniętego urządzenia. Problem wynika z niewłaściwej walidacji żądań HTTP.

CVE-2025-12801
Medium

A vulnerability was discovered in the rpc.mountd daemon of the nfs-utils package for Linux, allowing an NFSv3 client to escalate privileges assigned in the /etc/exports file at mount time. This enables access to any subdirectory or subtree of an exported directory, regardless of file permissions and 'root_squash' or 'all_squash' attributes.

CVE-2026-23238
Medium

W jądrze Linuxa zidentyfikowano podatność w funkcji romfs_fill_super(), która ignoruje wartość zwracaną przez sb_set_blocksize(). Może to prowadzić do błędów podczas montowania systemu plików romfs, gdy rozmiar bloku jest niezgodny z konfiguracją urządzenia blokowego.

CVE-2026-0689
Medium

W ExtremeCloud IQ – Site Engine (XIQ‑SE) przed wersją 26.2.10 występuje podatność w interfejsie administracyjnym NAC, która pozwala uwierzytelnionemu administratorowi NAC na odzyskanie zamaskowanych wrażliwych parametrów z odpowiedzi HTTP. Mimo że dane uwierzytelniające wydają się być zredagowane w interfejsie użytkownika, aplikacja zwraca rzeczywiste wartości tych danych w odpowiedzi HTTP.

CVE-2025-11950
Medium

Podatność CVE-2025-11950 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w EduAsist przed wersją 2.1, co pozwala na ataki typu Reflected XSS.

CVE-2026-1698
Medium

An HTTP Host header attack vulnerability in PcVue WebClient and WebScheduler web apps (versions 15.0.0 through 16.3.3) allows a remote attacker to inject harmful payloads that manipulate server-side behavior. The issue affects specific endpoints: /Authentication/ExternalLogin, /Authentication/AuthorizationCodeCallback, and /Authentication/Logout.

CVE-2026-1697
Medium

The Secure and SameSite attributes are missing in cookies used by the GraphicalData web services and WebClient web app of PcVue versions 12.0.0 through 16.3.3. This allows session hijacking and CSRF attacks.

CVE-2026-1696
Medium

The web server does not properly set some HTTP security headers in responses sent to client applications. This can weaken protection against attacks such as XSS, clickjacking, and other threats due to missing security headers.

PreviousPage 251 of 551Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS