CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2026-10809
Medium

W systemie zarządzania opłatami itsourcecode w wersji 1.0 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /manage_user.php. Manipulacja argumentem ID prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-10808
Medium

Zidentyfikowano podatność w systemie zarządzania opłatami itsourcecode w wersji 1.0. Problem dotyczy nieznanej funkcji w pliku /manage_student.php, gdzie manipulacja argumentem ID prowadzi do wstrzykiwania SQL.

CVE-2026-10807
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/profiles/change_profile_image.php. Manipulacja argumentem pr_profile_image może prowadzić do nieograniczonego przesyłania plików.

CVE-2026-10806
Medium

Wykryto podatność w mjperpinosa stumasy, która dotyczy nieznanej funkcji w pliku application/PHP/objects/updates/add_post.php. Manipulacja argumentem up_file_to_post prowadzi do nieograniczonego przesyłania plików, co może być inicjowane zdalnie.

CVE-2019-25744
Medium

WordPress Popup Builder version 3.49 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by breaking out of option tags in the post_title parameter.

CVE-2019-25743
Medium

WordPress Soliloquy Lite version 2.5.6 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious scripts by inserting script tags in the post title field.

CVE-2019-25742
Medium

WordPress Theme Zoner Real Estate version 4.1.1 contains a persistent cross-site scripting vulnerability that allows authenticated agents to inject malicious scripts through the Address input field when creating properties.

CVE-2019-25740
Medium

Joomla com_jsjobs w wersji 1.2.6 zawiera podatność na nieautoryzowane usuwanie plików, która pozwala uwierzytelnionym atakującym na usunięcie plików poprzez manipulację parametrami custom userfield. Atakujący mogą wysyłać żądania POST do zadania job.savejob z sekwencjami przejścia ścieżki w parametrze field_2, aby usunąć dowolne pliki dostępne dla serwera WWW.

CVE-2019-25739
Medium

GigToDo version 1.3 contains a persistent cross-site scripting (XSS) vulnerability that allows authenticated attackers to inject malicious JavaScript and HTML code through the proposal description field.

CVE-2019-25737
Medium

Live Chat Unlimited version 2.8.3 contains a stored cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious scripts through the chat input field. Attackers can submit payloads containing script tags and event handlers that execute in the admin area.

CVE-2019-25734
Medium

Wtyczka Contact Form by WD w wersji 1.13.1 zawiera podatność na atak typu cross-site request forgery (CSRF) połączoną z lokalnym dołączaniem plików. Umożliwia to nieautoryzowanym atakującym dołączanie dowolnych plików poprzez wykorzystanie niesanitizowanych parametrów akcji.

CVE-2019-25731
Medium

Zuz Music 2.1 contains a persistent cross-site scripting (XSS) vulnerability that allows unauthenticated attackers to inject malicious JavaScript by submitting crafted contact form data. Attackers can inject script code through the name, subject, and message parameters in POST requests to /gmusic/zuzconsole/___contact.

CVE-2026-10802
Medium

Wykryto podatność w keystonejs do wersji 20260319, która dotyczy nieznanego kodu w pliku output-field.ts w komponentach GraphQL API Endpoint. Manipulacja tą podatnością prowadzi do nadmiernego zużycia zasobów.

CVE-2025-52606
Medium

HCL iControl jest podatny na lukę związaną z słabą walidacją wejścia. Problem ten wynika z nieprawidłowej implementacji taktyki bezpieczeństwa architektonicznego, gdzie otrzymane dane wejściowe nie są poprawnie weryfikowane pod kątem oczekiwanego typu.

CVE-2026-49077
Medium

Podatność CVE-2026-49077 w wtyczce WP eMember umożliwia nieautoryzowanym użytkownikom dostęp do wrażliwych danych systemowych. Dotyczy to wersji od n/a do 10.2.2.

CVE-2026-8916
Medium

Podatność typu out-of-bounds write w bibliotece rlottie od Samsunga umożliwia przepełnienie buforów. Problem ten dotyczy wersji przed dcfde72eae1b0464dc0dd760aec00ada6a148635.

CVE-2026-50226
Medium

Fixed AES-128-CBC keys inside the AcerConnect OTA application allow attackers to forge authorization credentials for arbitrary IMEI numbers. This enables unauthorized actors to list catalog items and extract protected binaries from pre-signed cloud links.

CVE-2026-50224
Medium

The web administration panel is accessible on the public IPv6 address on port [::]:8080 without default firewall limits, allowing internal API endpoints to be reachable over the WAN.

CVE-2026-4881
Medium

In affected versions of Octopus Server, permissions were not checked correctly, allowing any authenticated user to make server-level changes via a specific API endpoint despite receiving an error.

CVE-2026-49510
Medium

W podatności CVE-2026-49510 występuje przepełnienie lub owinięcie liczb całkowitych w otwartym źródle rlottie firmy Samsung, co umożliwia ataki typu Integer. Problem dotyczy wersji rlottie przed 21292665023e5074b38254432716866d00f1985f.

PreviousPage 188 of 557Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS