CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-67911
Critical

Podatność CVE-2025-67911 dotyczy deserializacji niezaufanych danych w oprogramowaniu Tribulant Software Newsletters, co pozwala na wstrzyknięcie obiektów. Problem ten dotyczy wersji Newsletters od n/a do 4.11 włącznie.

CVE-2025-67910
Critical

Podatność CVE-2025-67910 dotyczy nieograniczonego przesyłania plików z niebezpiecznym typem w aplikacji Contentstudio, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji Contentstudio od n/a do 1.3.7 włącznie.

CVE-2025-23993
Critical

W podatności CVE-2025-23993 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w frameworku Felan. Problem dotyczy wersji frameworka Felan od n/a do 1.1.3 włącznie.

CVE-2025-23504
Critical

W podatności CVE-2025-23504 w frameworku Felan występuje możliwość obejścia uwierzytelniania za pomocą alternatywnej ścieżki lub kanału, co prowadzi do nadużycia uwierzytelnienia. Problem ten dotyczy wersji frameworka Felan od n/a do 1.1.3 włącznie.

CVE-2019-25296
Critical

Wtyczka WP Cost Estimation dla WordPressa jest podatna na nieautoryzowane przesyłanie i usuwanie plików z powodu braku walidacji typu pliku w akcjach AJAX lfb_upload_form i lfb_removeFile w wersjach do 9.642 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwerze, co może prowadzić do zdalnego wykonania kodu.

CVE-2019-25282
Critical

Platforma V-SOL GPON/EPON OLT w wersji 2.03 zawiera podatność na otwarte przekierowanie w skrypcie, która pozwala atakującym manipulować parametrem GET 'parent'. Atakujący mogą tworzyć złośliwe linki, które przekierowują zalogowanych użytkowników na dowolne strony internetowe, wykorzystując niewłaściwą walidację danych wejściowych w mechanizmie przekierowania.

CVE-2019-25268
Critical

NREL BEopt w wersji 2.8.0.0 zawiera podatność na przechwytywanie DLL, która pozwala atakującym na ładowanie dowolnych bibliotek poprzez oszukiwanie użytkowników, aby otwierali pliki aplikacji z zdalnych udziałów. Atakujący mogą wykorzystać niebezpieczne ładowanie bibliotek sdl2.dll i libegl.dll, umieszczając złośliwe biblioteki na udziałach WebDAV lub SMB.

CVE-2017-20216
Critical

Oprogramowanie układowe kamery termalnej FLIR PT-Series w wersji 8.0.0.64 zawiera wiele podatności na zdalne wstrzykiwanie poleceń bez uwierzytelnienia w skrypcie controllerFlirSystem.php. Atakujący mogą wykonywać dowolne polecenia systemowe jako root, wykorzystując niesanitizowane parametry POST w funkcji execFlirSystem() przez wywołania shell_exec().

CVE-2026-22189
Critical

The egg-mkfont utility in Panda3D versions up to and including 1.10.16 contains a stack-based buffer overflow vulnerability due to use of an unbounded sprintf() call with attacker-controlled input. When constructing glyph filenames, egg-mkfont formats a user-supplied glyph pattern (-gp) into a fixed-size stack buffer without length validation.

CVE-2026-21855
Critical

Menadżer Danych Tarkov to narzędzie do zarządzania danymi przedmiotów w grze Tarkov. Przed 2 stycznia 2025 roku istniała podatność typu Cross Site Scripting (XSS) w systemie powiadomień toast, która pozwalała atakującym na wykonanie dowolnego kodu JavaScript w kontekście sesji przeglądarki ofiary poprzez stworzenie złośliwego URL.

CVE-2026-21854
Critical

Tarkov Data Manager to narzędzie do zarządzania danymi przedmiotów w grze Tarkov. Przed 2 stycznia 2025 roku istniała podatność na obejście uwierzytelniania w punkcie logowania, która pozwalała nieautoryzowanym użytkownikom uzyskać pełny dostęp administracyjny do panelu zarządzania Tarkov Data Manager.

CVE-2025-12543
CriticalEPSS 64%

A flaw was found in the Undertow HTTP server core, used in WildFly, JBoss EAP, and other Java applications, where the Host header in incoming HTTP requests is not properly validated. Attackers can send crafted requests with malformed Host headers, leading to cache poisoning, internal network scanning, or session hijacking.

CVE-2025-47552
Critical

Podatność na deserializację niezaufanych danych w DZS Video Gallery umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji DZS Video Gallery od n/a do 12.37.

CVE-2025-32303
Critical

W podatności CVE-2025-32303 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości przeprowadzenia ataku typu Blind SQL Injection w wtyczce Mojoomla WPCHURCH. Problem ten dotyczy wersji WPCHURCH od n/a do 2.7.0.

CVE-2025-15018
Critical

Wtyczka Optional Email dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 1.3.11 włącznie. Problem wynika z braku ograniczenia filtra 'random_password' do kontekstu rejestracji, co pozwala na wpływanie na generację kluczy resetowania haseł.

CVE-2025-15471
Critical

Wykryto podatność w urządzeniu TRENDnet TEW-713RE w wersji 1.02, która pozwala na zdalne wstrzyknięcie poleceń systemowych poprzez manipulację argumentem SZCMD w pliku /goformX/formFSrvX. Produkt został wycofany z rynku i nie jest już wspierany przez producenta.

CVE-2025-30996
Critical

Podatność typu 'Nieograniczony upload pliku z niebezpiecznym typem' w motywach WordPress Themify umożliwia przesyłanie złośliwego skryptu (web shell) na serwer. Dotyczy to kilku motywów Themify, w tym Themify Sidepane, Themify Newsy i innych, w wersjach do określonych limitów.

CVE-2025-60534
Critical

Blue Access Cobalt v02.000.195 suffers from an authentication bypass vulnerability, which allows an attacker to selectively proxy requests in order to operate functionality on the web application without the need to authenticate with legitimate credentials.

CVE-2025-39477
Critical

W podatności CVE-2025-39477 występuje brak autoryzacji w Sfwebservice InWave Jobs, co pozwala na wykorzystanie nieprawidłowo skonfigurowanych poziomów kontroli dostępu. Problem dotyczy wersji InWave Jobs od n/a do 3.5.8.

CVE-2020-36925
Critical

Arteco Web Client DVR/NVR zawiera podatność na przejęcie sesji z powodu niewystarczającej złożoności identyfikatora sesji, co pozwala zdalnym atakującym na ominięcie uwierzytelnienia. Atakujący mogą przeprowadzić atak brute force na identyfikatory sesji w określonym zakresie numerycznym, aby uzyskać dostęp do ważnych sesji i strumieni na żywo z kamer bez autoryzacji.

PreviousPage 196 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS