CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
A Cross Site Scripting (XSS) vulnerability was found in code-projects Document Management System 1.0. An attacker can inject malicious JavaScript code in the "Company" field when adding files, allowing theft of the admin's session cookies.
W systemie HumanSuite firmy Patika Global Technologies występuje podatność na ataki typu Cross-Site Scripting (XSS) oraz phishing z powodu niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych. Problem dotyczy wersji przed 53.21.0.
Podatność CVE-2025-8057 dotyczy systemu HumanSuite firmy Patika Global Technologies i polega na obejściu autoryzacji poprzez klucz kontrolowany przez użytkownika. Problem ten występuje w wersjach przed 53.21.0.
W systemie Workcube ERP występuje podatność na atak typu XSS (Cross-site Scripting) z powodu niewłaściwego neutralizowania danych wejściowych podczas generowania stron internetowych. Problem dotyczy wersji od V12 do V14 przed wersją Cognitive.
Podatność CVE-2025-7355 dotyczy aplikacji Beefull, w której występuje możliwość obejścia autoryzacji poprzez klucz kontrolowany przez użytkownika. Umożliwia to wykorzystanie zaufanych identyfikatorów.
In the Linux kernel's ROSE (X.25 network) subsystem, a vulnerability was found due to incorrect reference counting in rose_neigh structures. Separate counters for nodes and sockets caused premature memory freeing, leading to a use-after-free condition. The patch merges both counters into one, ensuring proper deallocation only after all references are released.
W podatności CVE-2025-6575 występuje niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych w Dolusoft Omaspot, co pozwala na ataki typu Reflected XSS.
W podatności CVE-2025-2404 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w systemie STOYS firmy Ubit Information Technologies, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji STOYS od 2 do przed 20250916.
Podatność CVE-2025-5519 w ArgusTech BILGER umożliwia wstawienie wrażliwych informacji do wysyłanych danych poprzez wybór identyfikatora wiadomości. Problem ten dotyczy wersji BILGER przed 2.4.6.
Podatność CVE-2025-5518 dotyczy oprogramowania ArgusTech BILGER w wersjach przed 2.4.6 i polega na obejściu autoryzacji poprzez klucz kontrolowany przez użytkownika, co umożliwia wykorzystanie zaufanych identyfikatorów.
W jądrze Linuxa naprawiono podatność, która mogła prowadzić do dereferencji wskaźnika NULL w funkcji blk_mq_elv_switch_none. Problem występował po zablokowaniu q->sysfs_lock, gdy q->elevator mogło stać się NULL w wyniku zmiany windy.
A clickjacking vulnerability was found in Rems Employee Management System 1.0. It allows a remote attacker to execute arbitrary JavaScript on the department.php page by injecting a malicious payload into the Department Name field when adding a new department.
An issue was discovered in AXIS BANK LIMITED Axis Mobile App 9.9 that allows attackers to obtain sensitive information without a UPI PIN, such as account information, balances, transaction history, and unspecified other information. The supplier claims this is an intended feature and does not reveal much sensitive data.
In the Linux kernel, a vulnerability was found in the blk_stack_limits() function in the block layer, where the chunk_sectors check could cause an unsigned integer overflow when converting to bytes. The fix changes the check to be sector-based.
In the Linux kernel, a conditional IBPB mitigation was added for the VMSCAPE vulnerability, which exploits weak branch predictor isolation between a guest and userspace hypervisor (e.g., QEMU). The patch issues an IBPB after VMexit before returning to userspace, improving security but potentially impacting performance in workloads with frequent hypervisor-userspace switches.
A vulnerability was found in the Linux kernel's JBD2 filesystem in the jbd2_log_do_checkpoint() function. The function does not explicitly call cond_resched(), which can lead to a soft lockup during prolonged checkpoint list processing.
A vulnerability in the Linux kernel causes a soft lockup in br_multicast_query_expired(). When multicast_query_interval is set to an extremely large value, a local variable overflows, causing the timer to expire immediately and creating an infinite loop.
In the Linux kernel, a vulnerability was found in the Generic Segmentation Offload (GSO) mechanism for IPv6. When an IPv6 packet contains extension headers and the egress device only supports NETIF_F_IPV6_CSUM, the kernel incorrectly requests hardware checksum offload, violating the feature's contract. This triggers a skb_warn_bad_offload warning and causes network throughput collapse.
In the Linux kernel netfilter subsystem (ctnetlink), reference counting was removed from expectation dumpers. The fix prevents a double refcount increment and memory leak that could occur during dump resumption.
A vulnerability was found in the Linux kernel where file descriptor table allocations are not limited to INT_MAX. When sysctl_nr_open is set to a very high value (e.g., 1073741816 by systemd), processes using file descriptors near this limit can trigger memory allocation attempts exceeding INT_MAX, causing a warning in mm/slub.c and potential system overload.

