CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
In pfSense CE, the file /usr/local/www/snort/snort_ip_reputation.php does not sanitize the iplist parameter for directory traversal characters before checking file existence. Although file contents are not disclosed, the server reveals whether a file exists, enabling an attacker to enumerate files on the target. The attacker must be authenticated with at least 'WebCfg - Services: Snort package' permissions.
In pfSense CE, the value of the showsticktablecontent parameter in /usr/local/www/haproxy/haproxy_stats.php is displayed after being read from HTTP GET requests. This enables reflected cross-site scripting when the victim is authenticated.
A Cross Site Scripting (XSS) vulnerability in YesWiki v.4.54 allows a remote attacker to execute arbitrary code via a crafted payload in the meta configuration robots field.
A use-after-free vulnerability was found in the Linux kernel's QAT (QuickAssist Technology) drivers. Repeated loading/unloading of a device-specific driver (e.g., qat_4xxx) in a tight loop can cause a crash when a power management interrupt fires just before driver unload, leaving a pending work item in the shared `qat_misc_wq` queue. Executing that item after driver removal dereferences freed memory, leading to a kernel panic.
In the Linux kernel, Hygon processors lacked the resctrl_cpu_detect() call in BSP initialization, causing a division by zero fault during boot. The issue appeared after the function was moved to vendor-specific code.
In the Linux kernel, a dst refcount leak was discovered for loopback packets in the netfilter nf_reject module. The issue occurs when nf_reject_fill_skb_dst attempts to replace the dst entry in a packet that already has one (e.g., loopback traffic), triggering a WARN() and potential memory leak.
Podatność CVE-2025-8695 dotyczy serwera NetGIS, gdzie niewłaściwe neutralizowanie danych wejściowych podczas generowania stron internetowych prowadzi do możliwości ataków typu Cross-site Scripting (XSS). Problem ten dotyczy wersji NetGIS Server od 5.2.4 do 22.08.2025.
A vulnerability in the Linux kernel's netlink subsystem causes infinite retry looping in netlink_unicast(). The issue stems from an incorrect check of socket read memory constraints, leading to CPU stalls (RCU stall) and system unresponsiveness.
In the Linux kernel, the asix_devices driver for ASIX AX88772 USB Ethernet chips lacked a phy_mask setting for the MDIO bus. This caused up to 32 dummy PHY devices to be created, with only one binding to the network driver. During system suspend/resume, a NULL pointer dereference occurred in phy_state_machine(), leading to a crash.
A reference count leak in ctnetlink_dump_table() in the Linux kernel's netfilter subsystem occurs when ct == last, causing a double increment that prevents conntrack object release. This blocks netns dismantle or conntrack module removal, leading to potential denial of service.
W jądrze Linuxa rozwiązano podatność dotyczącą walidacji i_depth dla katalogów exhash. W wyniku testu fuzzingowego doszło do uszkodzenia, które skutkowało głębokością równą 0 w funkcji dir_e_read(), co prowadziło do nieokreślonego przesunięcia.
A race condition vulnerability was found in the Linux kernel between ptdump_walk_pgd() and memory hot remove operations. While ptdump scans kernel page tables, concurrent modifications can cause use of freed memory, leading to potential security issues. The fix moves the memory hotplug lock inside ptdump_check_wx(), protecting both the dump and W+X page checking paths.
Podatność CVE-2024-13073 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft TaskPano, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji s1.06.04 oprogramowania TaskPano.
Podatność CVE-2024-13071 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft e-Mutabakat, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji e-Mutabakat od 2.02.05 do przed v2.02.06.
Podatność CVE-2025-0878 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft LimonDesk, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji LimonDesk od s1.02.14 do przed v1.02.17.
A flaw was found in libsoup's caching mechanism, SoupCache, where the HTTP Vary header is ignored when evaluating cached responses. This header ensures that responses vary appropriately based on request headers such as language or authentication. Without this check, cached content can be incorrectly reused across different requests, potentially exposing sensitive user information.
Podatność w Akinsoft LimonDesk związana z niewłaściwym ograniczeniem renderowanych warstw UI lub ramek umożliwia atak typu iFrame Overlay, co jest zgodne z CAPEC - 103 - Clickjacking. Problem dotyczy wersji LimonDesk od s1.02.14 do przed v1.02.17.
Podatność w Akinsoft MyRezzta związana z niewłaściwym egzekwowaniem workflow oraz niekontrolowanym zużyciem zasobów umożliwia manipulację danymi wejściowymi. Problem dotyczy wersji MyRezzta od s2.02.02 do przed v2.05.01.
Podatność CVE-2024-13064 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft MyRezzta, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten występuje w wersjach MyRezzta od s2.02.02 do przed v2.05.01.
Podatność CVE-2024-13063 w Akinsoft MyRezzta pozwala na ominięcie autoryzacji poprzez klucz kontrolowany przez użytkownika, co umożliwia wymuszone przeglądanie zasobów. Problem dotyczy wersji MyRezzta od s2.02.02 do przed v2.05.01.

