CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
In Vim prior to version 9.2.0202, a command injection vulnerability exists in the glob() function on Unix-like systems. By including a newline character (\n) in a pattern passed to glob(), an attacker may execute arbitrary shell commands. This depends on the user's 'shell' setting.
CVE-2026-32642 describes an incorrect authorization vulnerability in Apache Artemis and Apache ActiveMQ Artemis, allowing an authenticated user with 'createDurableQueue' permission to create a non-durable JMS subscription on a non-existent address, despite lacking 'createAddress' permission. Consequently, a temporary address is created, which should not occur.
A Cross-Site Scripting (XSS) vulnerability in Znuny::ITSM 6.5.x in the customer.pl endpoint via the OTRSCustomerInterface parameter allows an attacker to inject malicious scripts.
A vulnerability in the BFD library of GNU Binutils fails to validate relocation type values in crafted XCOFF files, leading to out-of-bounds memory reads. This can cause tool crashes or memory content disclosure.
Versions of the jsrsasign package before 11.1.1 are vulnerable to division by zero, potentially leading to incorrect RSA public-key operations. An attacker can force these operations to return predetermined zero outputs, hiding 'invalid key' errors.
Nhost to otwarte źródło alternatywy dla Firebase z GraphQL. Przed wersją 0.12.0, obsługa przesyłania plików w usłudze przechowywania ufała nagłówkowi Content-Type dostarczonemu przez klienta, nie wykonując detekcji typu MIME po stronie serwera. To pozwalało atakującemu na przesyłanie plików z dowolnym typem MIME, omijając wszelkie ograniczenia oparte na typie MIME skonfigurowane na zasobnikach przechowywania.
A vulnerability in the GNU C Library (glibc) versions 2.34 through 2.43 causes calls to gethostbyaddr or gethostbyaddr_r with a configured nsswitch.conf specifying the DNS backend to return an invalid DNS hostname, violating the DNS specification.
An XSS vulnerability in SyncFusion 30.1.37 allows injection of malicious JavaScript code via the Document-Editor reply to comment field and the Chat-UI chat message.
A cross-site scripting (XSS) vulnerability has been reported to affect QuFTP Service. A remote attacker with an administrator account can exploit this vulnerability to bypass security mechanisms or read application data.
A vulnerability in Traefik allows bypassing mutual TLS (mTLS) authentication by sending a fragmented ClientHello packet. When SNI extraction fails due to fragmentation, the TCP router falls back to the default TLS configuration, which does not require client certificates.
Deserialization of Untrusted Data vulnerability in TotalSuite TotalContest Lite allows Object Injection. This issue affects TotalContest Lite from n/a through 2.9.1.
In the Linux kernel, a NULL pointer dereference vulnerability was found in the TEQL (Trivial Equalizer) network scheduler. The teql_master_xmit() function fails to update skb->dev before calling netdev_start_xmit(), causing gretap tunnels to use the wrong master device teql0 which lacks allocated tstats, resulting in a page fault.
A reflected XSS vulnerability in the Location Aware Sensor System by Linkit ONE (up to commit f06bd20, 2023-04-26) exists in the PM25.php file. Attackers can inject malicious JavaScript into GET parameters (site, city, district, channel, apikey), leading to script execution in victims' browsers.
W jądrze systemu Linux rozwiązano problem z niespójnością flagi IS_CHECKPOINTED, który występował podczas równoczesnych operacji zapisu atomowego i checkpointu w systemie plików F2FS. Problem objawiał się błędem -EINVAL podczas montowania F2FS w określonych warunkach wielowątkowych.
W jądrze systemu Linux zidentyfikowano podatność w kodzie arbitrażu RIVA NV3, która może prowadzić do błędu dzielenia przez zero. Atakujący może skonstruować złośliwe urządzenie, które ustawia parametr state->mclk_khz na zero, co powoduje awarię jądra podczas obliczeń związanych z arbitrażem.
W jądrze systemu Linux zidentyfikowano podatność związaną z brakiem odpowiedniej ochrony RCU w funkcjach ptype_seq_next() i ptype_seq_show(). Problem polega na tym, że ptype_seq_show() odczytuje nazwę urządzenia bez odpowiednich barier, co może prowadzić do naruszenia zasad RCU.
W jądrze systemu Linux zidentyfikowano podatność związaną z błędnym założeniem dotyczącym flagi `encapsulation` w etapie zakończenia GRO dla UDP. W niektórych scenariuszach, funkcja udp4_gro_complete() używa niewłaściwego przesunięcia sieciowego, co prowadzi do błędów walidacji sumy kontrolnej podczas przetwarzania pakietów.
W jądrze Linuxa rozwiązano podatność związaną z makrami xchk_xfile_*_descr, które wywołują funkcję kasprintf. Funkcja ta może nie przydzielić pamięci, jeśli sformatowany ciąg przekracza 16 bajtów, co może prowadzić do błędów.
A Cross-Site Scripting (XSS) vulnerability exists in the web-based configuration interface of Zucchetti Axess access control devices (models XA4, X3/X3BIO, X4, X7, XIO / i-door / i-door+). The issue is caused by improper sanitization of user-supplied input in the dirBrowse parameter of the /file_manager.cgi endpoint.
A vulnerability has been identified in the Linux kernel regarding TCP source port leakage via a SYN cookie side-channel. A fix has been implemented that brings back TCP ports to the timestamp offset randomization.

