CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-70221
Critical

W podatności CVE-2025-70221 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formLogin.

CVE-2025-46108
Critical

D-link Dir-513 A1FW110 jest podatny na przepełnienie bufora w funkcji formTcpipSetup. Ta podatność może prowadzić do nieautoryzowanego dostępu lub wykonania złośliwego kodu.

CVE-2026-3545
Critical

Niewystarczająca walidacja danych w nawigacji w Google Chrome przed wersją 145.0.7632.159 umożliwiała zdalnemu atakującemu potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

CVE-2025-70219
Critical

W podatności CVE-2025-70219 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez interfejs goform/formDeviceReboot.

CVE-2025-70226
Critical

W podatności CVE-2025-70226 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formEasySetupWizard.

CVE-2025-70223
Critical

W podatności CVE-2025-70223 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest spowodowane przez parametr curTime w funkcji goform/formAdvNetwork.

CVE-2026-20131
Critical

Podatność w interfejsie zarządzania opartym na sieci web oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na wykonanie dowolnego kodu Java jako root na podatnym urządzeniu. Problem wynika z niebezpiecznej deserializacji strumienia bajtów Java dostarczonego przez użytkownika.

CVE-2026-20079
Critical

Podatność w interfejsie webowym oprogramowania Cisco Secure Firewall Management Center (FMC) może pozwolić nieautoryzowanemu, zdalnemu atakującemu na ominięcie uwierzytelnienia i wykonanie plików skryptowych na podatnym urządzeniu, co umożliwia uzyskanie dostępu root do systemu operacyjnego.

CVE-2025-70220
Critical

W podatności CVE-2025-70220 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formAutoDetecWAN_wizard4.

CVE-2025-70218
Critical

W podatności CVE-2025-70218 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które można wykorzystać poprzez wysłanie żądania POST do komponentu goform/formAdvFirewall.

CVE-2026-28783
Critical

Craft to system zarządzania treścią (CMS), który przed wersjami 5.9.0-beta.1 i 4.17.0-beta.1 implementował listę blokującą, aby zapobiec wywoływaniu potencjalnie niebezpiecznych funkcji PHP przez funkcje strzałkowe Twig. Wiele funkcji PHP nie zostało uwzględnionych na liście blokującej, co może umożliwić atakującym wykonanie różnych typów ładunków, w tym RCE, odczytów plików, SSRF i SSTI.

CVE-2026-28697
Critical

Craft to system zarządzania treścią (CMS). Przed wersjami 4.17.0-beta.1 i 5.9.0-beta.1, uwierzytelniony administrator mógł osiągnąć zdalne wykonanie kodu (RCE) poprzez wstrzyknięcie ładunku SSTI do pól szablonów Twig, co pozwalało na zapisanie złośliwego skryptu PHP w katalogu dostępnym przez sieć.

CVE-2025-69969
Critical

Brak mechanizmów uwierzytelniania i autoryzacji w protokole komunikacyjnym Bluetooth Low Energy (BLE) w urządzeniu SRK Powertech Pvt Ltd Pebble Prism Ultra v2.9.2 umożliwia atakującym inżynierię wsteczną protokołu oraz wykonywanie dowolnych poleceń na urządzeniu bez nawiązywania połączenia. Wykorzystanie tej podatności możliwe jest w zasięgu Bluetooth Low Energy (BLE) bez potrzeby fizycznego kontaktu z urządzeniem.

CVE-2025-66944
Critical

Podatność typu SQL Injection w wersji 1.0.7 i wcześniejszych w bazie danych vran-dev umożliwia zdalnemu atakującemu wykonanie dowolnego kodu poprzez parametr zapytania w punkcie końcowym API wyszukiwania.

CVE-2025-66678
Critical

Problem w komponencie HwRwDrv.sys narzędzia Nil Hardware Editor Hardware Read & Write Utility w wersji 1.25.11.26 i wcześniejszych umożliwia atakującym wykonywanie dowolnych operacji odczytu i zapisu za pomocą spreparowanego żądania.

CVE-2026-26478
Critical

W urządzeniach Mobvoi Tichome Mini (modele 012-18853 i 027-58389) występuje podatność na wstrzykiwanie poleceń powłoki, która umożliwia zdalnym atakującym wysyłanie specjalnie przygotowanych datagramów UDP i wykonywanie dowolnego kodu powłoki jako konto root.

CVE-2025-59786
Critical

Wersja 3.4.2 i wcześniejsze 2N Access Commander niewłaściwie unieważniają tokeny sesji, co pozwala na utrzymanie aktywnych wielu ciasteczek sesyjnych po wylogowaniu z aplikacji webowej.

CVE-2026-27446
CriticalEPSS 95%

Missing Authentication for Critical Function (CWE-306) in Apache Artemis and Apache ActiveMQ Artemis. An unauthenticated remote attacker can use the Core protocol to force a target broker to establish an outbound Core federation connection to an attacker-controlled rogue broker. This could potentially result in message injection into any queue and/or message exfiltration from any queue via the rogue broker.

CVE-2026-27441
Critical

SEPPmail Secure Email Gateway przed wersją 15.0.1 niewystarczająco neutralizuje hasło szyfrowania PDF, co umożliwia wykonanie poleceń systemowych.

CVE-2026-29119
Critical

Odbiornik satelitarny SFX Series SuperFlex (SFX2100) firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane i niebezpieczne dane logowania dla konta `admin`. Zdalny, nieautoryzowany atakujący może wykorzystać te nieudokumentowane dane logowania do bezpośredniego dostępu do systemu satelitarnego za pośrednictwem usługi Telnet.

PreviousPage 155 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS