CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST — in English

CISA KEV catalog updated: (v2026.07.07)

CVE-2026-41446
Critical

Oprogramowanie układowe serii Snap One WattBox 800 i 820 w wersjach przed 2.10.0.0 zawiera nieujawnione punkty końcowe diagnostyczne HTTP, które wymagają jedynie adresu MAC urządzenia i tagu serwisowego do uwierzytelnienia. Oba te elementy są wydrukowane w postaci niezaszyfrowanej na etykiecie fizycznej urządzenia.

CVE-2026-41386
Critical

OpenClaw before version 2026.3.22 contains a privilege escalation vulnerability where bootstrap setup codes are not bound to intended device roles and scopes during pairing. Attackers can exploit this during first-use device pairing to escalate privileges beyond their intended role and scope.

CVE-2026-3893
Critical

The Carlson VASCO-B GNSS Receiver lacks an authentication mechanism, allowing an attacker with network access to directly access and modify its configuration and operational functions without needing credentials.

CVE-2026-24178
Critical

The NVIDIA NVFlare Dashboard contains a vulnerability in the user management and authentication system that allows an unauthenticated attacker to bypass authorization through a user-controlled key. Successful exploitation of this vulnerability may lead to privilege escalation, data tampering, information disclosure, code execution, and denial of service.

CVE-2026-41873
Critical

Podatność CVE-2026-41873 dotyczy niekonsekwentnej interpretacji żądań HTTP w Pony Mail, co może prowadzić do przejęcia konta administratora. Problem ten występuje we wszystkich wersjach implementacji Lua Pony Mail, która została wycofana.

CVE-2025-60889
Critical

Insecure deserialization of untrusted input in StellarGroup HPX 1.11.0 under certain conditions may allow attackers to execute arbitrary code or other unspecified impacts.

CVE-2026-7321
Critical

CVE-2026-7321 is a vulnerability related to incorrect boundary conditions in the WebRTC networking component, leading to a sandbox escape.

CVE-2026-7248
Critical

Wykryto podatność w urządzeniu D-Link DI-8100 w wersji 16.07.26A1, która dotyczy funkcji tgfile_htm w pliku tgfile.htm komponentu CGI Endpoint. Manipulacja argumentem fn prowadzi do przepełnienia bufora, co może być wykorzystane zdalnie.

CVE-2026-7244
Critical

W urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521 odkryto lukę bezpieczeństwa. Problem dotyczy funkcji setWiFiEasyGuestCfg w pliku /cgi-bin/cstecgi.cgi, która umożliwia wstrzyknięcie poleceń systemowych poprzez manipulację argumentem merge.

CVE-2026-7243
Critical

Zidentyfikowano podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521. Problem dotyczy funkcji setRadvdCfg w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem maxRtrAdvInterval prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7242
Critical

W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność w funkcji setOpenVpnClientCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem 'enabled' może prowadzić do wstrzyknięcia poleceń systemowych, co może być przeprowadzone zdalnie.

CVE-2026-7241
Critical

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setWiFiBasicCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wifiOff prowadzi do zdalnej iniekcji poleceń systemowych.

CVE-2026-7240
Critical

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setVpnAccountCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem User prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7204
Critical

W Totolink A8000RU w wersji 7.1cu.643_b20200521 zidentyfikowano podatność, która dotyczy funkcji setPptpServerCfg w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-7203
Critical

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521, która dotyczy funkcji setUrlFilterRules w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem enable prowadzi do wstrzyknięcia poleceń systemowych.

CVE-2026-7202
Critical

Wykryto podatność w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setWiFiWpsStart w pliku /cgi-bin/cstecgi.cgi komponentu CGI Handler. Manipulacja argumentem wscDisabled prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-32644
Critical

Niektóre wersje oprogramowania układowego kamer Milesight AIOT wykorzystują certyfikaty SSL z domyślnymi kluczami prywatnymi. To może prowadzić do poważnych luk w bezpieczeństwie, umożliwiając nieautoryzowany dostęp do urządzeń.

CVE-2026-40976
Critical

Under certain circumstances, Spring Boot's default web security is ineffective, allowing unauthorized access to all endpoints. The vulnerability affects servlet-based web applications that have no custom Spring Security configuration, rely on the default security filter chain, depend on spring-boot-actuator-autoconfigure, and do not depend on spring-boot-health.

CVE-2026-7156
Critical

Wykryto podatność w urządzeniu Totolink A8000RU w wersji 7.1cu.643_b20200521. Problem dotyczy funkcji CsteSystem w pliku /cgi-bin/cstecgi.cgi, gdzie manipulacja argumentem HTTP prowadzi do zdalnego wstrzyknięcia poleceń systemowych.

CVE-2026-7155
Critical

Wykryto podatność w urządzeniu Totolink A8000RU 7.1cu.643_b20200521, która dotyczy funkcji setLoginPasswordCfg w pliku /cgi-bin/cstecgi.cgi. Manipulacja argumentem admpass prowadzi do wstrzyknięcia poleceń systemowych.

PreviousPage 95 of 560Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS