CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W podatności CVE-2025-70232 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetMACFilter.
D-Link DIR-513 w wersji 1.10 zawiera krytyczną podatność. Podczas przetwarzania żądań POST związanych z kodami weryfikacyjnymi w /goform/formLogin, przechodzi do /goform/getAuthCode, ale nie filtruje wartości parametru FILECODE, co prowadzi do podatności na przejście ścieżki.
W podatności CVE-2025-70230 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formSetDDNS.
W podatności CVE-2025-70229 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSchedule.
Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.
Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.
A vulnerability in the RustDesk client allows for password brute forcing due to insufficient computational effort in hashing and improper restriction of excessive authentication attempts. The authentication mechanism based on SHA256 does not use a slow key-derivation function, enabling attackers to recover passwords offline.
A vulnerability in the RustDesk Client allows privilege abuse across multiple platforms, including Windows, MacOS, Linux, iOS, Android, and WebClient. This affects modules related to configuration management and the API sync loop.
Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.
Funkcja zarządzania plikami, która nie jest odpowiednio zabezpieczona, pozwala na przesyłanie niebezpiecznych typów danych przez użytkowników nieautoryzowanych, co prowadzi do zdalnego wykonania kodu.
The vulnerability allows arbitrary file write via a Path Traversal attack, potentially leading to remote code execution in the SeppMail user interface. The issue affects the large file transfer (LFT) feature.
Podatność na obejście uwierzytelniania w module uwierzytelniania urządzenia. Skuteczne wykorzystanie tej podatności wpłynie na integralność i poufność danych.
Funkcja dns_unpack_name() buforuje miejsce na końcu bufora i ponownie je wykorzystuje podczas dodawania etykiet DNS. W miarę wzrostu bufora, rozmiar buforu staje się niepoprawny, co może prowadzić do zapisu po zakończeniu bufora.
Wtyczka Login with Salesforce dla WordPressa w wersji do 1.0.2 nie weryfikuje, czy użytkownicy mają prawo logować się przez Salesforce. Umożliwia to nieautoryzowanym użytkownikom uzyskanie dostępu jako dowolny użytkownik (np. administrator) jedynie na podstawie znajomości adresu e-mail.
Oprogramowanie układowe odbiornika satelitarnego IDC SFX2100 zawiera wiele plików konfiguracyjnych demonów, które są własnością roota, ale są dostępne do odczytu dla wszystkich. Pliki konfiguracyjne zawierają twardo zakodowane lub w inny sposób niebezpieczne hasła w postaci tekstu jawnego, w tym dane uwierzytelniające do trybu uprzywilejowanego.
W systemie WP Attractive Donations System - Easy Stripe & Paypal donations występuje podatność na SQL Injection, która pozwala na przeprowadzenie Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.25 włącznie.
Podatność CVE-2026-28114 dotyczy menedżera licencji WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.
Podatność CVE-2026-28105 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Good Energy, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Good Energy od n/a do 1.7.7 włącznie.
Podatność na deserializację niezaufanych danych w ThemeREX Pizza House pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Pizza House od n/a do 1.4.0 włącznie.
Podatność CVE-2026-28043 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia plików PHP w motywie WordPress ThemeREX Healer - Doctor, Clinic & Medical. Problem ten dotyczy wersji motywu od n/a do 1.0.0.

