CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Incorrect access control in Beakon Application before version 5.4.3 allows authenticated attackers with low-level privileges to escalate privileges and execute commands with Administrator rights.
In the firmware of Wavlink AC1200 (versions M32A3_V1410_230602 and M32A3_V1410_240222), a post-authentication command injection vulnerability was found during password reset. The issue resides in the "set_sys_adm" function of the "adm.cgi" binary due to improper sanitization of the "newpass" field.
Podatność CVE-2025-0670 w Akinsoft ProKuafor umożliwia obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co prowadzi do ujawnienia zasobów. Problem dotyczy wersji ProKuafor od s1.02.07 do przed v1.02.08.
W podatności CVE-2024-12974 występuje niewłaściwa neutralizacja danych wejściowych podczas generowania stron internetowych w Akinsoft ProKuaför, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem dotyczy wersji ProKuaför od s1.02.07 do przed v1.02.08.
Podatność CVE-2025-0640 w Akinsoft OctoCloud umożliwia obejście autoryzacji poprzez klucz kontrolowany przez użytkownika, co prowadzi do ujawnienia wycieków zasobów. Problem dotyczy wersji OctoCloud od s1.09.02 do przed v1.11.01.
W podatności CVE-2024-12973 w Akinsoft OctoCloud występuje błąd walidacji pochodzenia, który umożliwia atak typu HTTP Response Splitting. Problem dotyczy wersji OctoCloud od s1.09.01 do przed v1.11.01.
Podatność CVE-2024-12972 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akinsoft OctoCloud, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji OctoCloud od s1.09.01 do przed v1.11.01.
Podatność typu 'Open Redirect' w Akınsoft QR Menü umożliwia wymuszone przeglądanie oraz phishing. Problem dotyczy wersji QR Menü od s1.05.05 do przed v1.05.12.
Podatność CVE-2024-12914 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w Akınsoft QR Menü, co umożliwia ataki typu Cross-Site Scripting (XSS). Problem ten dotyczy wersji QR Menü od s1.05.05 do przed v1.05.12.
A cross-site scripting (XSS) vulnerability exists in Nagios XI 2024R2. The vulnerability allows remote attackers to execute arbitrary JavaScript in the context of a logged-in user's session via a specially crafted URL. The issue resides in a web component responsible for rendering performance-related data.
W jądrze systemu Linux zidentyfikowano podatność w systemie plików gfs2, która dotyczy mechanizmu samoregeneracji. Gdy węzeł wycofuje się i jest jedynym węzłem z zamontowanym systemem plików, gfs2 próbuje odtworzyć lokalny dziennik, co prowadzi do dereferencji wskaźnika NULL.
W jądrze systemu Linux naprawiono podatność, która mogła prowadzić do paniki systemu przy użyciu opcji montowania 'mode=lfs'. Problem występował w funkcji f2fs_map_blocks(), gdzie nieprawidłowe zarządzanie alokacją bloków mogło prowadzić do wyczerpania przestrzeni.
In jshERP v3.5, the component PersonController.java has incorrect access control, allowing unauthorized attackers to obtain all handler information by executing the getAllList method.
In jshERP v3.5, the SupplierController.java component has an incorrect access control vulnerability, allowing unauthorized attackers to arbitrarily modify supplier status on any account.
In jshERP v3.5, incorrect access control in the UserController.java component allows attackers to arbitrarily reset user account passwords. This vulnerability enables a horizontal privilege escalation attack.
The elysia-cors library through version 1.3.0 has an origin validation error that allows bypassing CORS restrictions. Instead of exact domain matching, the library checks if the supplied origin is a substring of any domain in the CORS policy, enabling attackers to use malicious origins like "notexample.com" or "example.common.net" when the policy includes "example.com".
A vulnerability in the libssh library involves an integer overflow in the bin_to_base64() function when processing an unexpectedly large input buffer passed to ssh_get_fingerprint_hash(). This leads to memory under-allocation and out-of-bounds write, causing heap corruption. The issue affects only 32-bit builds of libssh.
A vulnerability in the Linux kernel's epoll mechanism allows semi-unbounded recursion during loop checking. The lack of proper depth limits in the epoll graph can lead to kernel stack overflow.
A vulnerability in the Linux kernel's BPF subsystem causes a kernel warning when performing narrower access to pointer fields in context structures. The issue occurs when a BPF program reads fewer bytes than the pointer field size, leading to a context access conversion error.
The Cookies and Content Security Policy plugin up to version 2.29 has an access control flaw in an AJAX endpoint. Unauthenticated remote attackers can cause a denial of service by performing unlimited database write operations via the wp_ajax_nopriv_cacsp_insert_consent_data endpoint.

