CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
An XSS vulnerability in PcVue OAuth services (versions 12.0.0–16.3.3) allows a remote attacker to inject malicious code into the OAuth server error page. The attack requires tricking an authenticated user into loading content from an external site after a failed login.
A vulnerability in PcVue (versions 12.0.0 through 16.3.3) causes HTTP headers to be added by the default IIS and ASP.NET configuration, which are not removed during the deployment of web services for WebVue, WebScheduler, TouchVue, and SnapVue features. This unnecessarily exposes sensitive server configuration information.
Missing origin validation in WebSockets in PcVue versions 12.0.0 through 16.3.3 (WebVue, WebScheduler, TouchVue, SnapVue) allows a remote attacker to lure an authenticated user to a malicious website. Only endpoints GraphicalData/js/signalR/connect and GraphicalData/js/signalR/reconnect are affected.
A vulnerability in Parse Dashboard versions 7.3.0-alpha.42 through 9.0.0-alpha.7 causes the `ConfigKeyCache` to use the same cache key for both master key and read-only master key when resolving function-typed keys. Under specific timing conditions, a read-only user can receive the cached full master key, or a regular user can receive the cached read-only master key.
Parse Dashboard versions 7.3.0-alpha.42 through 9.0.0-alpha.7 lack CSRF protection for the AI Agent endpoint (`POST /apps/:appId/agent`). An attacker can craft a malicious page that, when visited by an authenticated dashboard user, submits requests to this endpoint using the victim's session.
W podatności CVE-2026-3091 w Synology Presto Client przed wersją 2.1.3-0672 występuje niekontrolowany element ścieżki wyszukiwania, który pozwala lokalnym użytkownikom na odczyt lub zapis dowolnych plików oraz przeprowadzenie ataku typu denial-of-service podczas instalacji, poprzez umieszczenie złośliwego pliku DLL w tym samym katalogu co instalator.
In ImageMagick prior to version 7.1.2-15, a memory leak exists in `coders/ashlar.c`. The `WriteASHLARImage` allocates a structure, but when an exception is thrown, the allocated memory is not properly released, resulting in a potential memory leak.
An Open Redirect vulnerability in the RedirectSlashes function of go-chi/chi version 5.2.2 and later allows remote attackers to redirect victims to malicious websites using the legitimate website domain.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem ochrony spinlock w powiadomieniach virtqueue dla urządzenia virtio-crypto. Problem występuje podczas uruchamiania polecenia benchmark openssl z wieloma procesami, co prowadzi do zawieszenia procesów openssl.
W jądrze Linuxa zidentyfikowano podatność związaną z wyciekiem licznika aktywnych połączeń w funkcji ksmbd_tcp_new_connection(). W przypadku niepowodzenia funkcji kthread_run(), transport jest zwalniany, co prowadzi do nieodpowiedniego zarządzania licznikiem active_num_conn.
W jądrze systemu Linux zidentyfikowano podatność, która prowadzi do nieskończonej pętli w przypadku błędnej weryfikacji podpisu żądania SMB2. Problem występuje, gdy funkcja __process_request() nieprawidłowo ustawia wskaźnik do następnego polecenia, co skutkuje ciągłym przetwarzaniem tego samego błędnego żądania.
Podatność CVE-2025-8308 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w systemie INFOREX - General Information Management System, co pozwala na ataki typu XSS poprzez nagłówki HTTP. Problem ten dotyczy wersji systemu od 2025 roku i wcześniejszych do 18 lutego 2026 roku.
W Wispotter, produkcie firmy Doruk Communication and Automation Industry and Trade Inc., występuje podatność związana z niewłaściwym ograniczeniem nadmiernych prób uwierzytelnienia, co umożliwia ataki typu brute force na hasła. Problem dotyczy wersji od 1.0 do przed v2025.10.08.1.
W podatności CVE-2025-7706 w oprogramowaniu Liderahenk występuje brak uwierzytelnienia dla krytycznej funkcji, co umożliwia zdalne włączenie kodu. Problem dotyczy wersji Liderahenk od 3.0.0 do 3.3.1 przed 3.5.0.
Podatność CVE-2025-8303 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w skrypcie nieruchomości EKA Software. Umożliwia to ataki typu Cross-Site Scripting (XSS).
W jądrze Linuxa zidentyfikowano podatność, która prowadzi do zastoju systemu z powodu oczekiwania procesów na zakończenie operacji zapisu stron metadanych w systemie plików btrfs. Problem dotyczy mechanizmu ograniczania zanieczyszczenia pamięci, który w niektórych przypadkach może prowadzić do deadlocku.
W jądrze systemu Linux zidentyfikowano podatność w funkcji btrfs: send, która nieprawidłowo sprawdza inline extents w funkcji range_is_hole_in_parent(). Niewłaściwy dostęp do pola disk_bytenr może prowadzić do nieprawidłowego dostępu do pamięci, co jest szczególnie niebezpieczne w przypadku inline extents.
An issue in the 'My Details' user profile functionality of Ideagen Q-Pulse 7.1.0.32 allows an authenticated user to view other users' profile information by modifying the objectKey HTTP parameter in the My Details page URL.
Podatność CVE-2025-13004 dotyczy oprogramowania E-Commerce Package firmy Farktor Software E-Commerce Services Inc. i pozwala na obejście autoryzacji poprzez manipulację zmiennymi kontrolowanymi przez użytkownika.
A NULL pointer dereference vulnerability has been reported to affect several QNAP operating system versions. A remote attacker with an administrator account can exploit this vulnerability to launch a denial-of-service (DoS) attack.

