CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
W wersjach 2.16 i wcześniejszych biblioteki PJSIP występuje podatność na przepełnienie bufora w sesji ICE PJNATH, która występuje podczas przetwarzania poświadczeń z nadmiernie długimi nazwami użytkowników.
Chevereto w wersji 3.13.4 zawiera podatność na zdalne wykonanie kodu, która umożliwia atakującym wstrzykiwanie złośliwego kodu podczas instalacji konfiguracji bazy danych. Atakujący mogą manipulować parametrem prefiksu tabeli bazy danych, aby zapisać plik powłoki PHP i wykonywać dowolne polecenia systemowe za pomocą spreparowanego żądania POST.
Allok Video Converter w wersji 4.6.1217 zawiera podatność typu przepełnienie stosu w polu wprowadzania nazwy licencji, co pozwala atakującym na wykonanie dowolnego kodu. Atakujący mogą stworzyć specjalnie zaprojektowany ładunek, aby nadpisać obsługiwacze SEH i wykonać polecenia systemowe, wstrzykując złośliwy kod bajtowy do pola wprowadzania.
Allok RM RMVB to AVI MPEG DVD Converter w wersji 3.6.1217 zawiera podatność na przepełnienie stosu, która pozwala atakującym na wykonanie dowolnego kodu poprzez nadpisanie rejestrów Structured Exception Handler (SEH). Atakujący mogą stworzyć złośliwy ładunek w polu Licencja, aby wywołać przepełnienie bufora i wykonać polecenia systemowe, takie jak calc.exe.
Torrent FLV Converter w wersji 1.51 Build 117 zawiera podatność na przepełnienie stosu, która pozwala atakującym na nadpisanie Structured Exception Handler (SEH) poprzez złośliwy kod rejestracyjny. Atakujący mogą stworzyć ładunek z określonymi przesunięciami i technikami częściowego nadpisywania SEH, co może prowadzić do wykonania dowolnego kodu na podatnych systemach Windows 32-bit.
Torrent 3GP Converter w wersji 1.51 zawiera podatność na przepełnienie stosu, która umożliwia atakującym wykonanie dowolnego kodu poprzez nadpisanie rejestrów Structured Exception Handler (SEH). Atakujący mogą stworzyć złośliwy ładunek skierowany na dialog rejestracji aplikacji, aby wywołać wykonanie kodu.
ASTPP w wersji 4.0.1 zawiera wiele podatności, w tym na ataki typu cross-site scripting oraz wstrzykiwanie poleceń w interfejsach konfiguracji urządzeń SIP i zarządzania wtyczkami. Atakujący mogą wykorzystać te luki do wstrzykiwania poleceń systemowych oraz przejmowania sesji administratorów.
The vulnerability in DiskCache (python-diskcache) up to version 5.6.3 is due to the default use of Python pickle for serialization. An attacker with write access to the cache directory can achieve arbitrary code execution when a victim application reads from the cache.
W OpenSatKit w wersji 2.2.1 odkryto problem związany z buforem EventErrStr, który ma stały rozmiar 256 bajtów. Kod używa funkcji sprintf do formatowania dwóch nazw plików bez sprawdzania długości, co może prowadzić do przepełnienia bufora na stosie.
Wersje nanotar do 0.2.0 zawierają podatność na przejście ścieżki w funkcjach parseTar() i parseTarGzip(). Umożliwia to zdalnym atakującym zapis dowolnych plików poza zamierzonym katalogiem ekstrakcji za pomocą spreparowanego archiwum tar zawierającego sekwencje przejścia ścieżki.
Podatność CVE-2026-25084 pozwala na ominięcie uwierzytelnienia w urządzeniu ZLAN5143D poprzez bezpośredni dostęp do wewnętrznych adresów URL.
Niechroniony punkt końcowy API umożliwia atakującemu zdalną zmianę hasła urządzenia bez konieczności uwierzytelnienia.
W podatności CVE-2025-64075 występuje luka w przechodzeniu ścieżek w funkcji check_token urządzenia Shenzhen Zhibotong Electronics ZBT WE2001. Umożliwia ona zdalnym atakującym ominięcie uwierzytelnienia i wykonanie działań administracyjnych poprzez dostarczenie spreparowanej wartości ciasteczka sesyjnego.
Urządzenia METIS DFS (wersje <= oscore 2.1.234-r18) udostępniają interfejs webowy na końcówce /console, który nie wymaga uwierzytelnienia. Uzyskanie dostępu do tej końcówki pozwala zdalnemu atakującemu na wykonywanie dowolnych poleceń systemowych z uprawnieniami 'daemon'.
Urządzenia METIS WIC (wersje <= oscore 2.1.234-r18) udostępniają interfejs webowy na końcówce /console, który nie wymaga uwierzytelnienia. Uzyskanie dostępu do tej końcówki pozwala zdalnemu atakującemu na wykonywanie dowolnych poleceń systemowych z uprawnieniami roota (UID 0).
Podatność CVE-2025-12059 dotyczy platformy Logo j-Platform, która pozwala na wprowadzenie wrażliwych informacji do plików lub katalogów dostępnych zewnętrznie. Problem wynika z nieprawidłowo skonfigurowanych poziomów kontroli dostępu.
Podatność CVE-2025-8668 dotyczy niewłaściwej neutralizacji danych wejściowych podczas generowania stron internetowych w oprogramowaniu Turboard, co pozwala na ataki typu Reflected XSS (Cross-site Scripting). Problem ten występuje w wersjach oprogramowania od 2025.07 do 2026.02.
W Dinosoft ERP występuje luka związana z brakiem uwierzytelnienia dla krytycznych funkcji oraz niewłaściwą kontrolą dostępu, co pozwala na dostęp do funkcjonalności, która nie jest odpowiednio ograniczona przez listy kontroli dostępu (ACL). Problem dotyczy wersji Dinosoft ERP od < 3.0.1 do 11022026.
Zgłoszono podatność typu 'link following', która wpływa na kilka wersji systemu operacyjnego QNAP. Zdalni atakujący mogą wykorzystać tę podatność do przeszukiwania systemu plików w niezamierzonych lokalizacjach.
Wtyczka WPvivid Backup & Migration dla WordPressa jest podatna na nieautoryzowane przesyłanie dowolnych plików w wersjach do 0.9.123 włącznie. Problem wynika z niewłaściwego zarządzania błędami w procesie deszyfrowania RSA oraz braku sanitizacji ścieżek przy zapisywaniu przesyłanych plików.

