CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2026-25680
Medium

Analiza dowolnego HTML może powodować nadmierne zużycie czasu procesora, co może prowadzić do odmowy usługi.

CVE-2022-34363
Medium

Dell Unisphere dla PowerMax w wersji przed 10.0.0.2 zawiera podatność na obejście autoryzacji w aplikacji Unisphere dla VMAX działającej w vApp.

CVE-2026-8673
Medium

Podatność w oprogramowaniu syslink AG Avantra na systemach Linux i Windows polega na braku ochrony transportu poświadczeń, co umożliwia ataki sniffingowe. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-8672
Medium

Wykryto podatność na użycie domyślnego hasła w oprogramowaniu syslink AG Avantra na systemach Linux i Windows, co umożliwia próby logowania przy użyciu powszechnych lub domyślnych nazw użytkowników i haseł. Problem dotyczy wersji Avantra przed 25.3.0.

CVE-2026-5072
Medium

A bitwise shift vulnerability in Zephyr's PTP subsystem allows a remote attacker to cause undefined behavior and potential system crashes. An attacker sends a crafted PTP_MSG_MANAGEMENT message to set an unvalidated negative log_announce_interval value, leading to undefined behavior when processing a subsequent PTP_MSG_ANNOUNCE message. This can result in system crashes or logical errors.

CVE-2026-44409
Medium

W ZTE MU5250 występuje podatność na ujawnienie informacji spowodowana niewłaściwą konfiguracją mechanizmu kontroli dostępu. Atakujący mogą uzyskać dostęp do informacji bez autoryzacji.

CVE-2026-39835
Medium

SSH servers using CertChecker as a public key callback without setting IsUserAuthority or IsHostAuthority could panic when a client presents a certificate. CertChecker now returns an error instead of panicking when these callbacks are nil.

CVE-2026-39828
Medium

A vulnerability in SSH server implementation causes permissions to be silently discarded when an authentication callback returns PartialSuccessError with non-nil Permissions. This can bypass certificate restrictions like force-command after a second factor succeeds.

CVE-2026-4929
Medium

Simple Hierarchical Select (SHS) dla Drupala 7 zawiera ryzyko ataku typu cross-site scripting z powodu niewłaściwego escapowania tekstu pochodzącego z terminów. Potwierdzone dotknięte ścieżki obejmują wyjście formatera pól (shs_field_formatter_view) oraz generowanie danych o dzieciach terminów w drzewie terminów (shs_term_get_children).

CVE-2026-4093
Medium

W module Term Reference Tree dla Drupal 7 istnieją dwa wektory XSS, które są przechowywane w procesie renderowania widgetu/formatera. Atakujący może wstrzykiwać złośliwy kod HTML/JS poprzez nieprawidłowo sanitizowane dane w szablonach tokenów oraz etykietach terminów taksonomii.

CVE-2026-6841
Medium

Request Tracker jest podatny na odzwierciedloną podatność typu cross-site scripting (XSS) poprzez parametr 'Page' w żądaniach GET. Atakujący może stworzyć URL, który po otwarciu powoduje wykonanie dowolnego kodu JavaScript w przeglądarce ofiary.

CVE-2026-43496
Medium

In the Linux kernel, a vulnerability was found in the RED (Random Early Detection) qdisc. When RED has a child qdisc (e.g., QFQ) that uses a peek() callback returning already dequeued packets (qdisc_peek_dequeued()), calling dequeue() on RED can cause a NULL pointer dereference and kernel panic. The fix replaces the direct dequeue call with qdisc_dequeue_peeked() to properly handle packets from the gso_skb queue.

CVE-2026-0393
Medium

Podatny produkt może ujawniać dane uwierzytelniające zdalnie pomiędzy użytkownikami o niskich uprawnieniach podczas równoczesnych operacji logowania z powodu niewystarczającej izolacji danych uwierzytelniających. Podatność dotyczy jedynie operacji logowania w aktywnej sesji wizualizacji.

CVE-2026-2734
Medium

W wersjach mlflow/mlflow do 3.9.0, punkt końcowy REST API `SearchModelVersions` oraz zapytanie GraphQL `mlflowSearchModelVersions` nie mają odpowiednich kontroli autoryzacji dla poszczególnych modeli, gdy włączona jest podstawowa autoryzacja. To pozwala każdemu uwierzytelnionemu użytkownikowi na enumerację wszystkich wersji modeli we wszystkich zarejestrowanych modelach, niezależnie od poziomu uprawnień.

CVE-2026-9149
Medium

A heap buffer overflow vulnerability was found in the libsolv library. The issue occurs when processing a specially crafted `.solv` file containing negative size values in the `repo_add_solv` function, leading to undersized memory allocation and an out-of-bounds write.

CVE-2026-9150
Medium

A stack-based buffer overflow vulnerability was found in libsolv's Debian metadata parser when processing specially crafted repository metadata. An attacker can exploit malicious SHA384 or SHA512 checksum tags, causing memory corruption and denial of service (DoS).

CVE-2026-9136
Medium

A vulnerability was identified in the ShadowAttribute proposal creation workflow that allowed updating existing records instead of creating new ones. A user could submit the identifier of an existing ShadowAttribute, leading to unauthorized modifications.

CVE-2026-9124
Medium

Niewystarczająca walidacja niezaufanego wejścia w Google Chrome przed wersją 148.0.7778.179 umożliwiała zdalnemu atakującemu, który przejął proces renderowania, wyciek danych między źródłami za pomocą spreparowanej strony HTML.

CVE-2026-9122
Medium

W Google Chrome na Mac przed wersją 148.0.7778.179 wystąpił błąd odczytu poza zakresem w GPU, który umożliwiał zdalnemu atakującemu uzyskanie potencjalnie wrażliwych informacji z pamięci procesu za pomocą spreparowanej strony HTML.

CVE-2026-47099
Medium

TeleJSON prior to version 6.0.0 contains a DOM-based cross-site scripting vulnerability in the parse() function. Attackers can deliver a crafted JSON payload with a malicious _constructor-name_ property value that is passed directly to new Function() without sanitization, allowing arbitrary JavaScript execution.

PreviousPage 264 of 603Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS