CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2026-33412
MediumEPSS 54%

In Vim prior to version 9.2.0202, a command injection vulnerability exists in the glob() function on Unix-like systems. By including a newline character (\n) in a pattern passed to glob(), an attacker may execute arbitrary shell commands. This depends on the user's 'shell' setting.

CVE-2026-32642
Medium

CVE-2026-32642 describes an incorrect authorization vulnerability in Apache Artemis and Apache ActiveMQ Artemis, allowing an authenticated user with 'createDurableQueue' permission to create a non-durable JMS subscription on a non-existent address, despite lacking 'createAddress' permission. Consequently, a temporary address is created, which should not occur.

CVE-2025-52204
Medium

A Cross-Site Scripting (XSS) vulnerability in Znuny::ITSM 6.5.x in the customer.pl endpoint via the OTRSCustomerInterface parameter allows an attacker to inject malicious scripts.

CVE-2026-4647
Medium

A vulnerability in the BFD library of GNU Binutils fails to validate relocation type values in crafted XCOFF files, leading to out-of-bounds memory reads. This can cause tool crashes or memory content disclosure.

CVE-2026-4603
Medium

Versions of the jsrsasign package before 11.1.1 are vulnerable to division by zero, potentially leading to incorrect RSA public-key operations. An attacker can force these operations to return predetermined zero outputs, hiding 'invalid key' errors.

CVE-2026-33221
Medium

Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.

CVE-2026-4438
Medium

A vulnerability in the GNU C Library (glibc) versions 2.34 through 2.43 causes calls to gethostbyaddr or gethostbyaddr_r with a configured nsswitch.conf specifying the DNS backend to return an invalid DNS hostname, violating the DNS specification.

CVE-2025-63260
Medium

An XSS vulnerability in SyncFusion 30.1.37 allows injection of malicious JavaScript code via the Document-Editor reply to comment field and the Chat-UI chat message.

CVE-2026-22895
Medium

A cross-site scripting (XSS) vulnerability has been reported to affect QuFTP Service. A remote attacker with an administrator account can exploit this vulnerability to bypass security mechanisms or read application data.

CVE-2026-32305
Medium

A vulnerability in Traefik allows bypassing mutual TLS (mTLS) authentication by sending a fragmented ClientHello packet. When SNI extraction fails due to fragmentation, the TCP router falls back to the default TLS configuration, which does not require client certificates.

CVE-2026-0677
Medium

Deserialization of Untrusted Data vulnerability in TotalSuite TotalContest Lite allows Object Injection. This issue affects TotalContest Lite from n/a through 2.9.1.

CVE-2026-23277
Medium

In the Linux kernel, a NULL pointer dereference vulnerability was found in the TEQL (Trivial Equalizer) network scheduler. The teql_master_xmit() function fails to update skb->dev before calling netdev_start_xmit(), causing gretap tunnels to use the wrong master device teql0 which lacks allocated tstats, resulting in a page fault.

CVE-2026-32843
Medium

A reflected XSS vulnerability in the Location Aware Sensor System by Linkit ONE (up to commit f06bd20, 2023-04-26) exists in the PM25.php file. Attackers can inject malicious JavaScript into GET parameters (site, city, district, channel, apikey), leading to script execution in victims' browsers.

CVE-2026-23267
Medium

W jądrze systemu Linux rozwiązano problem z niespójnością flagi IS_CHECKPOINTED, który występował podczas równoczesnych operacji zapisu atomowego i checkpointu w systemie plików F2FS. Problem objawiał się błędem -EINVAL podczas montowania F2FS w określonych warunkach wielowątkowych.

CVE-2026-23266
Medium

W jądrze systemu Linux zidentyfikowano podatność w kodzie arbitrażu RIVA NV3, która może prowadzić do błędu dzielenia przez zero. Atakujący może skonstruować złośliwe urządzenie, które ustawia parametr state->mclk_khz na zero, co powoduje awarię jądra podczas obliczeń związanych z arbitrażem.

CVE-2026-23255
Medium

W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem odpowiedniej ochrony RCU w funkcjach ptype_seq_next() i ptype_seq_show(). Problem polega na tym, że ptype_seq_show() odczytuje nazwę urządzenia bez odpowiednich barier, co może prowadzić do naruszenia zasad RCU.

CVE-2026-23254
Medium

W jądrze systemu Linux zidentyfikowano podatność związaną z błędnym założeniem dotyczącym flagi `encapsulation` w etapie zakończenia GRO dla UDP. W niektórych scenariuszach, funkcja udp4_gro_complete() używa niewłaściwego przesunięcia sieciowego, co prowadzi do błędów walidacji sumy kontrolnej podczas przetwarzania pakietów.

CVE-2026-23252
Medium

W jądrze Linuxa rozwiązano podatność związaną z makrami xchk_xfile_*_descr, które wywołują funkcję kasprintf. Funkcja ta może nie przydzielić pamięci, jeśli sformatowany ciąg przekracza 16 bajtów, co może prowadzić do błędów.

CVE-2026-30695
Medium

A Cross-Site Scripting (XSS) vulnerability exists in the web-based configuration interface of Zucchetti Axess access control devices (models XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+). The issue is caused by improper sanitization of user-supplied input in the dirBrowse parameter of the /file_manager.cgi endpoint.

CVE-2026-23247
Medium

A vulnerability has been identified in the Linux kernel regarding TCP source port leakage via a SYN cookie side-channel. A fix has been implemented that brings back TCP ports to the timestamp offset randomization.

PreviousPage 275 of 588Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS