CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-70232
Critical

W podatności CVE-2025-70232 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetMACFilter.

CVE-2025-70231
Critical

D-Link DIR-513 w wersji 1.10 zawiera krytyczną podatność. Podczas przetwarzania żądań POST związanych z kodami weryfikacyjnymi w /goform/formLogin, przechodzi do /goform/getAuthCode, ale nie filtruje wartości parametru FILECODE, co prowadzi do podatności na przejście ścieżki.

CVE-2025-70230
Critical

W podatności CVE-2025-70230 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formSetDDNS.

CVE-2025-70229
Critical

W podatności CVE-2025-70229 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSchedule.

CVE-2025-13476
Critical

Tryb Cloak aplikacji Rakuten Viber w wersji Android v25.7.2.0g oraz Windows v25.6.0.0–v25.8.1.0 wykorzystuje statyczny i przewidywalny odcisk palca TLS ClientHello, który nie zapewnia różnorodności rozszerzeń. To umożliwia systemom Deep Packet Inspection (DPI) łatwe identyfikowanie i blokowanie ruchu proxy, co podważa możliwości omijania cenzury.

CVE-2026-30793
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w kliencie RustDesk umożliwia eskalację uprawnień. Dotyczy to plików programowych oraz modułów mostków FFI w systemach Windows, MacOS, Linux, iOS i Android.

CVE-2026-30789
Critical

A vulnerability in the RustDesk client allows for password brute forcing due to insufficient computational effort in hashing and improper restriction of excessive authentication attempts. The authentication mechanism based on SHA256 does not use a slow key-derivation function, enabling attackers to recover passwords offline.

CVE-2026-30783
Critical

A vulnerability in the RustDesk Client allows privilege abuse across multiple platforms, including Windows, MacOS, Linux, iOS, Android, and WebClient. This affects modules related to configuration management and the API sync loop.

CVE-2026-2599
Critical

Wtyczka Database for Contact Form 7, WPforms, Elementor forms dla WordPressa jest podatna na wstrzyknięcie obiektów PHP we wszystkich wersjach do i włącznie z 1.4.7 poprzez deserializację nieufnych danych wejściowych w funkcji 'download_csv'. Umożliwia to nieautoryzowanym atakującym wstrzyknięcie obiektu PHP.

CVE-2026-21628
Critical

Funkcja zarządzania plikami, która nie jest odpowiednio zabezpieczona, pozwala na przesyłanie niebezpiecznych typów danych przez użytkowników nieautoryzowanych, co prowadzi do zdalnego wykonania kodu.

CVE-2026-2743
Critical

The vulnerability allows arbitrary file write via a Path Traversal attack, potentially leading to remote code execution in the SeppMail user interface. The issue affects the large file transfer (LFT) feature.

CVE-2026-28536
Critical

Podatność na obejście uwierzytelniania w module uwierzytelniania urządzenia. Skuteczne wykorzystanie tej podatności wpłynie na integralność i poufność danych.

CVE-2026-1678
Critical

Funkcja dns_unpack_name() buforuje miejsce na końcu bufora i ponownie je wykorzystuje podczas dodawania etykiet DNS. W miarę wzrostu bufora, rozmiar buforu staje się niepoprawny, co może prowadzić do zapisu po zakończeniu bufora.

CVE-2026-2418
Critical

Wtyczka Login with Salesforce dla WordPressa w wersji do 1.0.2 nie weryfikuje, czy użytkownicy mają prawo logować się przez Salesforce. Umożliwia to nieautoryzowanym użytkownikom uzyskanie dostępu jako dowolny użytkownik (np. administrator) jedynie na podstawie znajomości adresu e-mail.

CVE-2026-29128
Critical

Oprogramowanie układowe odbiornika satelitarnego IDC SFX2100 zawiera wiele plików konfiguracyjnych demonów, które są własnością roota, ale są dostępne do odczytu dla wszystkich. Pliki konfiguracyjne zawierają twardo zakodowane lub w inny sposób niebezpieczne hasła w postaci tekstu jawnego, w tym dane uwierzytelniające do trybu uprzywilejowanego.

CVE-2026-28115
Critical

W systemie WP Attractive Donations System - Easy Stripe & Paypal donations występuje podatność na SQL Injection, która pozwala na przeprowadzenie Blind SQL Injection. Problem ten dotyczy wersji od n/a do 1.25 włącznie.

CVE-2026-28114
Critical

Podatność CVE-2026-28114 dotyczy menedżera licencji WooCommerce, który pozwala na nieograniczone przesyłanie plików o niebezpiecznym typie. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

CVE-2026-28105
Critical

Podatność CVE-2026-28105 dotyczy deserializacji niezaufanych danych w wtyczce ThemeREX Good Energy, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Good Energy od n/a do 1.7.7 włącznie.

CVE-2026-28074
Critical

Podatność na deserializację niezaufanych danych w ThemeREX Pizza House pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Pizza House od n/a do 1.4.0 włącznie.

CVE-2026-28043
Critical

Podatność CVE-2026-28043 dotyczy niewłaściwej kontroli nazw plików w instrukcjach include/require w programie PHP, co prowadzi do lokalnego włączenia plików PHP w motywie WordPress ThemeREX Healer - Doctor, Clinic & Medical. Problem ten dotyczy wersji motywu od n/a do 1.0.0.

PreviousPage 152 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS