CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2020-36912
Critical

Plexus anblick Digital Signage Management w wersji 3.1.13 zawiera podatność na otwarte przekierowanie w skrypcie 'PantallaLogin', co pozwala atakującym na manipulację parametrem GET 'pagina'. Atakujący mogą tworzyć złośliwe linki, które przekierowują użytkowników na dowolne strony internetowe.

CVE-2025-15001
Critical

Wtyczka FS Registration Password dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.0.1. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-14996
Critical

Wtyczka AS Password Field w domyślnym formularzu rejestracyjnym dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do 2.0.0 włącznie. Problem wynika z braku odpowiedniej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-15444
Critical

Moduł Crypt::Sodium::XS w wersjach wcześniejszych niż 0.000042 dla Perla zawiera podatną wersję libsodium. Wersje libsodium do 1.0.20 lub wydane przed 30 grudnia 2025 roku mają podatność, która może prowadzić do nieprawidłowego sprawdzania punktów na krzywej eliptycznej.

CVE-2026-0625
Critical

Multiple D-Link DSL/DIR/DNS devices contain an authentication bypass and improper access control vulnerability in the dnscfg.cgi endpoint that allows an unauthenticated attacker to access DNS configuration functionality. An attacker can modify the device’s DNS settings without valid credentials, enabling DNS hijacking attacks.

CVE-2025-39484
Critical

W podatności CVE-2025-39484 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Waituk Entrada. Problem ten dotyczy wersji Entrada od n/a do 5.7.7.

CVE-2025-14346
Critical

Wózki inwalidzkie elektryczne WHILL Model C2 oraz Model F nie wymuszają uwierzytelnienia dla połączeń Bluetooth. Atakujący znajdujący się w zasięgu może sparować się z urządzeniem i wydawać polecenia ruchu, omijać ograniczenia prędkości oraz manipulować profilami konfiguracyjnymi bez potrzeby posiadania jakichkolwiek poświadczeń lub interakcji ze strony użytkownika.

CVE-2023-50897
Critical

Podatność CVE-2023-50897 w aplikacji Meow Apps Media File Renamer pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji Media File Renamer od n/a do 5.7.7.

CVE-2025-68865
Critical

W podatności CVE-2025-68865 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Infility Global. Problem ten dotyczy wersji od n/a do 2.15.06 włącznie.

CVE-2025-31048
Critical

Podatność CVE-2025-31048 w Themify Shopo umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co pozwala na przesłanie powłoki sieciowej na serwerze WWW. Problem ten dotyczy wersji Shopo od n/a do 1.1.4.

CVE-2025-30633
Critical

Podatność CVE-2025-30633 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w Amazon Native Shopping Recommendations. Problem ten dotyczy wersji od n/a do 1.3.

CVE-2025-64123
Critical

W Nuvation Energy Multi-Stack Controller (MSC) występuje niezamierzona podatność typu Proxy lub Intermediary, która umożliwia mostkowanie granic sieci. Problem ten dotyczy wersji Multi-Stack Controller (MSC) od 2.5.1 włącznie.

CVE-2025-64121
Critical

Podatność CVE-2025-64121 w kontrolerze Multi-Stack (MSC) firmy Nuvation Energy umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji kontrolera MSC od 2.3.8 do przed 2.5.1.

CVE-2025-67268
Critical

In gpsd before commit dc966aa, a heap-based out-of-bounds write vulnerability exists in the drivers/driver_nmea2000.c file. The hnd_129540 function, handling NMEA2000 PGN 129540 packets, fails to validate the user-supplied satellite count against the skyview array size (184 elements). This allows an attacker to write beyond the array bounds by providing a satellite count up to 255, leading to memory corruption, Denial of Service (DoS), and potentially arbitrary code execution.

CVE-2025-14998
Critical

Wtyczka Branda dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 3.4.24. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed aktualizacją hasła.

CVE-2025-15114
Critical

Ksenia Security lares (model starszy) w wersji 1.6 zawiera krytyczną lukę bezpieczeństwa, która ujawnia PIN systemu alarmowego w pliku XML 'basisInfo' po uwierzytelnieniu. Atakujący mogą uzyskać PIN z odpowiedzi serwera, co pozwala na ominięcie zabezpieczeń i dezaktywację systemu alarmowego bez dodatkowego uwierzytelnienia.

CVE-2025-15113
Critical

Model Ksenia Security lares (legacy) systemu automatyki domowej w wersji 1.6 zawiera podatność na niechroniony punkt końcowy, który pozwala uwierzytelnionym atakującym na przesyłanie binarnych obrazów systemu plików MPFS. Atakujący mogą wykorzystać tę podatność do nadpisania pamięci programu flash i potencjalnego wykonania dowolnego kodu na serwerze WWW systemu automatyki domowej.

CVE-2025-15111
Critical

Model legacy Ksenia Security lares w wersji 1.6 zawiera podatność na domyślne dane uwierzytelniające, która umożliwia nieautoryzowanym atakującym uzyskanie dostępu administracyjnego. Atakujący mogą wykorzystać słabe domyślne dane administracyjne, aby przejąć pełną kontrolę nad systemem automatyki domowej.

CVE-2022-50803
Critical

JM-DATA ONU JF511-TV w wersji 1.0.67 wykorzystuje domyślne dane logowania, co pozwala atakującym na uzyskanie nieautoryzowanego dostępu do urządzenia z uprawnieniami administratora.

CVE-2025-66848
CriticalEPSS 56%

JD Cloud NAS routers AX1800, AX3000, AX6600, BE6500, ER1, and ER2 in specific firmware versions contain an unauthorized remote command execution vulnerability. An attacker can exploit this flaw without authentication, leading to full device compromise.

PreviousPage 197 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS