CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Odbiornik satelitarny SFX Series SuperFlex firmy International Datacasting Corporation (IDC) zawiera nieudokumentowane, twardo zakodowane/niebezpieczne dane logowania dla konta użytkownika `xd`. Zdalny, nieautoryzowany atakujący może zalogować się przez FTP, wykorzystując te dane.
Odbiornik satelitarny SFX2100 firmy International Datacasting Corporation (IDC) posiada trywialne hasło dla konta `user` (usr). Zdalny, nieautoryzowany atakujący może wykorzystać tę podatność do uzyskania nieautoryzowanego dostępu SSH do systemu.
Odbiornik satelitarny SuperFlex serii SFX firmy International Datacasting Corporation (IDC) zawiera twardo zakodowane dane logowania dla konta `monitor`. Zdalny, nieautoryzowany atakujący może wykorzystać te proste, nieudokumentowane dane logowania do uzyskania dostępu do systemu przez SSH.
W usłudze SNMP w odbiorniku satelitarnym SFX Series SuperFlex firmy International Datacasting Corporation (IDC) występuje podatność na zdalne wykonanie kodu (RCE) bez uwierzytelnienia. Domyślnie, usługa ta niebezpiecznie udostępnia `private` ciąg społeczności SNMP z dostępem do odczytu i zapisu, co pozwala atakującemu na wykonanie dowolnych poleceń systemowych z uprawnieniami roota.
W podatności CVE-2026-3266 w OpenText™ Filr występuje brak autoryzacji, co umożliwia obejście uwierzytelnienia. Umożliwia to nieautoryzowanym użytkownikom uzyskanie tokena XSRF i wykonywanie zdalnych wywołań procedur (RPC) za pomocą starannie przygotowanych programów.
FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach FreeScout 1.8.206 i wcześniejszych występuje luka umożliwiająca zdalne wykonanie kodu (RCE) poprzez przesłanie złośliwego pliku .htaccess z prefiksem znaku zerowej szerokości, co omija zabezpieczenia.
Qwik to framework JavaScript skoncentrowany na wydajności. Wersje qwik do 1.19.0 są podatne na zdalne wykonanie kodu (RCE) z powodu niebezpiecznej deserializacji w mechanizmie server$ RPC, co pozwala nieautoryzowanym użytkownikom na wykonanie dowolnego kodu na serwerze za pomocą jednego żądania HTTP.
Froxlor to oprogramowanie do zarządzania serwerem typu open source. W wersjach przed 2.3.4 wystąpił błąd w kodzie walidacji wejścia, który całkowicie wyłączał sprawdzanie formatu adresu e-mail dla wszystkich pól ustawień zadeklarowanych jako typ e-mail. To umożliwia uwierzytelnionemu administratorowi zapisanie dowolnych ciągów w ustawieniu panel.adminmail.
W menedżerze haseł AliasVault zidentyfikowano podatność typu XSS w funkcji renderowania e-maili w wersjach 0.25.3 i niższych. Atakujący może wysłać spreparowany e-mail z złośliwym skryptem JavaScript, który zostanie wykonany w kontekście aplikacji, gdy ofiara wyświetli ten e-mail.
W Devolutions Server 2025.3.15.0 i wcześniejszych wersjach występuje luka w autoryzacji, która pozwala nieautoryzowanemu użytkownikowi na uwierzytelnienie się jako dowolny użytkownik Entra ID za pomocą sfałszowanego tokena JWT.
Nieprawidłowa walidacja danych wejściowych na stronie komunikatów o błędach w Devolutions Server 2025.3.16 i wcześniejszych wersjach umożliwia zdalnym atakującym fałszowanie wyświetlanego komunikatu o błędzie za pomocą specjalnie przygotowanego URL.
W Devolutions Server 2025.3.15 i wcześniejszych wersjach występuje niewłaściwe egzekwowanie kontroli behawioralnych, co pozwala uwierzytelnionemu atakującemu z uprawnieniami do usuwania na usunięcie konta PAM, które jest aktualnie wypożyczone, poprzez zaznaczenie go obok przynajmniej jednego konta, które nie jest wypożyczone, i wykonanie masowego usunięcia.
In Devolutions Remote Desktop Manager 2025.3.30 and earlier, there is improper enforcement of the Disable password saving in vaults setting. This allows an authenticated user to persist credentials in vault entries, potentially exposing sensitive information to other users.
W OpenSTAManager w wersji 2.9.8 i wcześniejszych występuje podatność na eskalację uprawnień oraz obejście uwierzytelniania, która pozwala atakującemu na dowolną zmianę grupy użytkownika (idgruppo) poprzez bezpośrednie wywołanie modules/utenti/actions.php. Może to prowadzić do awansu konta (np. agenta) do grupy Amministratori oraz degradacji dowolnego użytkownika, w tym istniejących administratorów.
OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach od 5.0.2 do przed 8.0.0 istnieją co najmniej dwie ścieżki, w których tajny klucz gateway_api_key jest ujawniany klientowi w postaci niezaszyfrowanej.
OpenEMR to darmowa i otwarta aplikacja do zarządzania elektroniczną dokumentacją medyczną. Przed wersją 8.0.0 istniała podatność na ujawnienie tokenów w punkcie końcowym MedEx, która pozwalała nieautoryzowanym użytkownikom na uzyskanie tokenów API, co prowadziło do poważnych naruszeń bezpieczeństwa.
OpenEMR to darmowa i otwartoźródłowa aplikacja do zarządzania elektroniczną dokumentacją medyczną. W wersjach 7.0.4 i wcześniejszych, metoda disposeDocument() w pliku EtherFaxActions.php pozwala uwierzytelnionym użytkownikom na zapis dowolnej treści w dowolnych lokalizacjach systemu plików serwera, co może prowadzić do zdalnego wykonania kodu (RCE).
W urządzeniu D-Link DIR-868L w wersji 110b03 znaleziono lukę, która dotyczy funkcji sub_1BF84 w usłudze SSDP. Manipulacja argumentem ST może prowadzić do zdalnego wstrzyknięcia poleceń systemowych.
W podatności CVE-2025-70240 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard51.
W podatności CVE-2025-70239 występuje przepełnienie bufora stosu w urządzeniu D-Link DIR-513 w wersji 1.10, które jest wywoływane przez parametr curTime w funkcji goform/formSetWAN_Wizard55.

