CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Podatność związana z niewystarczającym wygasaniem sesji w module 'Elixir.Hexpm.Accounts.PasswordReset' pozwala na przejęcie konta. Tokeny resetowania hasła generowane w procesie 'Resetuj swoje hasło' nie wygasają, co stwarza ryzyko ich wykorzystania przez atakujących.
File Browser przed wersją 2.61.1 zawierał lukę w kontroli dostępu w punkcie końcowym DELETE protokołu TUS, która pozwalała uwierzytelnionym użytkownikom z uprawnieniami tylko do tworzenia na usuwanie dowolnych plików i katalogów w ich zakresie. Problem ten został naprawiony w wersji 2.61.1.
OpenReplay to zestaw do rejestrowania sesji, który można hostować samodzielnie. W wersjach przed 1.20.0 występowała podatność na wstrzykiwanie SQL w parametrze sort.field w punkcie końcowym POST /{projectId}/cards/search. Problem ten został naprawiony w wersji 1.20.0.
Wersje NLTK do 3.9.2 są podatne na wykonanie dowolnego kodu z powodu niewłaściwej walidacji wejścia w module StanfordSegmenter. Moduł ten dynamicznie ładuje zewnętrzne pliki .jar bez weryfikacji lub piaskownicy.
W podatności CVE-2025-70948 występuje luka wstrzykiwania nagłówka hosta w komponencie mailera @perfood/couch-auth w wersji 0.26.0. Umożliwia to atakującym uzyskanie tokenów resetowania i przejęcie konta poprzez fałszowanie nagłówka HTTP Host.
Chamilo to system zarządzania nauką. Wersje przed 1.11.34 mają podatność na Stored XSS poprzez niebezpieczne przesyłanie plików w 'Sieciach Społecznościowych', co pozwala użytkownikowi o niskich uprawnieniach na wykonanie dowolnego kodu w skrzynce odbiorczej administratora, umożliwiając przejęcie konta administratora.
An issue in D-Link DIR-1253 MESH V1.6.1684 allows an attacker to escalate privileges via the etc/shadow.sample component.
Nginx UI to interfejs webowy dla serwera Nginx. W wersjach przed 2.3.3, punkt końcowy /api/backup był dostępny bez uwierzytelnienia, co ujawniało klucze szyfrujące potrzebne do odszyfrowania kopii zapasowej w nagłówku odpowiedzi X-Backup-Security.
Gogs to otwartoźródłowa usługa Git hostowana samodzielnie. W wersjach przed 0.14.2 obiekty LFS mogły być nadpisywane w różnych repozytoriach, co prowadziło do ataków na łańcuch dostaw, umożliwiając złośliwym atakującym nadpisywanie wszystkich obiektów LFS.
Niebezpieczne parsowanie konfiguracji OpenMQ umożliwia zdalnemu atakującemu odczyt dowolnych plików z serwera MQ Brokera. W pełni wykorzystana podatność może prowadzić do odczytu nieautoryzowanych plików systemu operacyjnego hosta OpenMQ.
W podatności CVE-2025-70233 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetEnableWizard.
W podatności CVE-2025-70232 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetMACFilter.
D-Link DIR-513 w wersji 1.10 zawiera krytyczną podatność. Podczas przetwarzania żądań POST związanych z kodami weryfikacyjnymi w /goform/formLogin, przechodzi do /goform/getAuthCode, ale nie filtruje wartości parametru FILECODE, co prowadzi do podatności na przejście ścieżki.
W podatności CVE-2025-70230 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formSetDDNS.
W podatności CVE-2025-70229 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSchedule.
Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.
Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.
A vulnerability in the RustDesk client allows for password brute forcing due to insufficient computational effort in hashing and improper restriction of excessive authentication attempts. The authentication mechanism based on SHA256 does not use a slow key-derivation function, enabling attackers to recover passwords offline.
A vulnerability in the RustDesk Client allows privilege abuse across multiple platforms, including Windows, MacOS, Linux, iOS, Android, and WebClient. This affects modules related to configuration management and the API sync loop.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

