CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.16)

CVE-2026-2376
Medium

W systemie mirror-registry znaleziono lukę, która pozwala uwierzytelnionemu użytkownikowi na oszukanie systemu w celu uzyskania dostępu do niezamierzonych wewnętrznych lub zastrzeżonych systemów poprzez podanie złośliwych adresów internetowych. Aplikacja automatycznie podąża za przekierowaniami bez weryfikacji ostatecznego celu.

CVE-2025-66955
Medium

Local File Inclusion vulnerability in Contact Plan, E-Mail, SMS and Fax components of Asseco SEE Live 2.0 allows remote authenticated users to access files on the host via the "path" parameter in downloadAttachment and downloadAttachmentFromPath API calls.

CVE-2025-61154
Medium

W podatności CVE-2025-61154 występuje przepełnienie bufora na stercie w wersjach LibreDWG od v0.13.3.7571 do v0.13.3.7835. Złośliwie przygotowany plik DWG może spowodować awarię usługi (DoS) poprzez funkcję decompress_R2004_section w pliku decode.c.

CVE-2025-13913
Medium

Użytkownik z uprawnieniami w Ignition może zaimportować zewnętrzny plik z specjalnie przygotowanym ładunkiem, co prowadzi do wykonania osadzonego złośliwego kodu.

CVE-2026-20117
Medium

A vulnerability in the web-based management interface of Cisco Unified Contact Center Express (Unified CCX) allows an unauthenticated, remote attacker to perform cross-site scripting (XSS) attacks against a user of the interface. The issue is due to insufficient validation of user-supplied input.

CVE-2026-3904
Medium

In the GNU C Library version 2.36 on x86_64 systems, calling functions that use nscd caching may cause a crash. The issue stems from an optimized memcmp implementation that, when inputs are concurrently modified by other threads, can crash the nscd client and the application using it.

CVE-2026-3784
Medium

Podatność CVE-2026-3784 dotyczy narzędzia curl, które błędnie ponownie wykorzystuje istniejące połączenie HTTP proxy podczas wykonywania żądania CONNECT do serwera, nawet jeśli nowe żądanie używa innych poświadczeń dla proxy. Oczekiwane zachowanie to utworzenie lub użycie oddzielnego połączenia.

CVE-2026-31812
Medium

A vulnerability in Quinn before version 0.11.14 allows a remote, unauthenticated attacker to trigger a denial of service (DoS) by sending a crafted QUIC Initial packet with malformed transport parameters. The flaw is due to the use of unwrap() when decoding varints, causing a panic on truncated encoding.

CVE-2026-23868
Medium

Giflib contains a double-free vulnerability resulting from a shallow copy in GifMakeSavedImage and improper error handling. The conditions to trigger this vulnerability are difficult but possible.

CVE-2026-1286
Medium

A deserialization of untrusted data vulnerability exists that could lead to loss of confidentiality, integrity, and potential remote code execution on a workstation when an admin authenticated user opens a malicious project file.

CVE-2025-13902
Medium

A Cross-site Scripting (CWE-79) vulnerability exists that allows authenticated attackers to execute arbitrary JavaScript in a victim's browser when the victim hovers over a maliciously crafted element on a web server containing the injected payload.

CVE-2025-13901
Medium

A CWE-404 vulnerability exists related to improper resource shutdown or release, which could lead to a partial Denial of Service attack on the Machine Expert protocol. An unauthenticated attacker can send a malicious payload to occupy active communication channels.

CVE-2026-27688
Medium

W wyniku braku sprawdzenia autoryzacji w serwerze aplikacyjnym SAP NetWeaver dla ABAP, uwierzytelniony atakujący z uprawnieniami użytkownika mógł odczytać pliki dziennika analizy bazy danych za pomocą konkretnego modułu funkcji RFC. Atakujący z odpowiednimi uprawnieniami do wykonania tego modułu funkcji mógł potencjalnie podnieść swoje uprawnienia i uzyskać dostęp do wrażliwych danych.

CVE-2026-24316
Medium

SAP NetWeaver Application Server dla ABAP udostępnia raport ABAP do celów testowych, który pozwala na wysyłanie żądań HTTP do dowolnych wewnętrznych lub zewnętrznych punktów końcowych. Raport ten jest podatny na atak typu Server-Side Request Forgery (SSRF).

CVE-2026-24309
Medium

W wyniku braku weryfikacji uprawnień w serwerze aplikacji SAP NetWeaver dla ABAP, uwierzytelniony atakujący mógłby wykonać określony moduł funkcji ABAP, aby odczytać, zmodyfikować lub wprowadzić wpisy do tabeli konfiguracyjnej bazy danych systemu ABAP. Zmiana ta może prowadzić do obniżonej wydajności systemu lub przerw w jego działaniu.

CVE-2026-1776
MediumEPSS 50%

A path traversal vulnerability in Camaleon CMS versions 2.4.5.0 through 2.9.0 (prior to commit f54a77e) in the AWS S3 uploader implementation. Authenticated users can read arbitrary files from the web server's filesystem by manipulating the 'file' parameter in the download_private_file function.

CVE-2024-14027
Medium

In the Linux kernel, a vulnerability was found in the fremovexattr() syscall where the error path of strncpy_from_user() misses a fdput() call. This causes a permanent file reference leak, which in multi-threaded processes can lead to kernel memory exhaustion.

CVE-2026-25604
Medium

In AWS Auth Manager, the origin of SAML authentication was taken from the client without verification against the actual instance URL. This allowed gaining access to different instances with potentially different access controls by reusing SAML responses from other instances.

CVE-2026-29786
Medium

A vulnerability in node-tar prior to version 7.5.10 allows an attacker to create a hardlink pointing outside the extraction directory by using a drive-relative link target such as C:../target.txt. This enables file overwrite outside the current working directory during normal tar.x() extraction.

CVE-2025-69653
Medium

Wykonanie spreparowanego wejścia JavaScript w QuickJS w wersji 2025-09-13 może spowodować wewnętrzną awarię asercji, co prowadzi do przerwania działania (SIGABRT) podczas zbierania śmieci. Problem ten został naprawiony w commitcie 1dbba8a88eaa40d15a8a9b70bb1a0b8fb5b552e6 z dnia 2025-12-11.

PreviousPage 286 of 597Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS