CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-52835
Critical

Podatność typu Cross-Site Request Forgery (CSRF) w ConoHa przez GMO WING WordPress Migrator umożliwia przesyłanie powłok sieciowych na serwer WWW. Problem dotyczy WING WordPress Migrator w wersjach od n/a do 1.2.0 włącznie.

CVE-2025-15255
Critical

W podatności CVE-2025-15255 zidentyfikowano problem w urządzeniu Tenda W6-S 1.0.0.4(510), który dotyczy nieznanej funkcji pliku /bin/httpd komponentu R7websSsecurityHandler. Manipulacja argumentem Cookie może prowadzić do przepełnienia bufora na stosie.

CVE-2025-68860
Critical

Podatność CVE-2025-68860 dotyczy Mobile Builder, umożliwiając obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten występuje w wersjach od n/a do 1.4.2 włącznie.

CVE-2025-68562
Critical

Podatność CVE-2025-68562 w MapSVG firmy RomanCode umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji MapSVG od n/a do 8.7.3.

CVE-2025-69201
Critical

Tugtainer to aplikacja do automatyzacji aktualizacji kontenerów Docker. W wersjach przed 1.15.1 istnieje możliwość wstrzykiwania dowolnych argumentów w `POST api/command/run` w tugtainer-agent, co stanowi poważne zagrożenie.

CVE-2025-68897
Critical

W podatności CVE-2025-68897 występuje niewłaściwa kontrola generacji kodu, co prowadzi do możliwości wstrzyknięcia kodu w wtyczce IF AS Shortcode w wersjach od n/a do 1.2. Problem ten może być wykorzystany przez atakujących do wykonania nieautoryzowanego kodu.

CVE-2025-68952
Critical

W wersji 0.0.60 systemu Eigent zidentyfikowano podatność na zdalne wykonanie kodu (RCE) przy użyciu jednego kliknięcia. Ta podatność umożliwia atakującemu wykonanie dowolnego kodu na maszynie lub serwerze ofiary.

CVE-2025-66203
Critical

StreamVault to rozwiązanie do integracji pobierania wideo. Przed wersją 251126 występuje podatność na zdalne wykonanie kodu (RCE) w aplikacji stream-vault (SpiritApplication), która pozwala administratorom na konfigurowanie argumentów yt-dlp bez odpowiedniej walidacji.

CVE-2025-8769
Critical

Aplikacja internetowa Telenium Online jest podatna z powodu skryptu Perl, który jest wywoływany do załadowania strony logowania. Z powodu niewłaściwej walidacji danych wejściowych, atakujący może wstrzyknąć dowolny kod Perl poprzez spreparowane żądanie HTTP, co prowadzi do zdalnego wykonania kodu na serwerze.

CVE-2019-25249
Critical

Podatność CVE-2019-25249 dotyczy urządzenia devolo dLAN 500 AV Wireless+ w wersji 3.1.0-1, które zawiera lukę umożliwiającą obejście uwierzytelniania. Atakujący mogą włączyć ukryte usługi za pomocą skryptu htmlmgr CGI, co pozwala na uzyskanie dostępu do urządzenia bez hasła.

CVE-2019-25240
Critical

Rifatron 5brid DVR zawiera podatność nieautoryzowaną w skrypcie animate.cgi, która umożliwia dostęp do transmisji wideo na żywo bez uwierzytelnienia. Atakujący mogą wykorzystać moduł Mobile Web Viewer, aby określając numery kanałów, uzyskać sekwencyjne zrzuty wideo bez konieczności logowania.

CVE-2019-25237
Critical

Platforma V-SOL GPON/EPON OLT w wersji 2.03 zawiera podatność na eskalację uprawnień, która pozwala zwykłym użytkownikom uzyskać dostęp administracyjny poprzez manipulację parametrem roli użytkownika. Atakujący mogą wysłać spreparowane żądanie HTTP POST do punktu końcowego zarządzania użytkownikami z ustawioną wartością 'user_role_mod' na '1', aby podnieść swoje uprawnienia.

CVE-2019-25236
Critical

iSeeQ Hybrid DVR WH-H4 w wersji 1.03R zawiera podatność nieautoryzowaną w skrypcie get_jpeg, która umożliwia dostęp do strumieni wideo na żywo. Atakujący mogą uzyskać zrzuty wideo z określonych kanałów kamer, wysyłając żądania do punktu końcowego /cgi-bin/get_jpeg bez autoryzacji.

CVE-2019-25235
Critical

Smartwares HOME easy w wersji 1.0.9 zawiera podatność na obejście uwierzytelniania, która pozwala nieautoryzowanym atakującym uzyskać dostęp do stron administracyjnych poprzez wyłączenie JavaScript. Atakujący mogą przechodzić do wielu punktów końcowych administracyjnych, omijając walidację po stronie klienta i uzyskując dostęp do wrażliwych informacji systemowych.

CVE-2018-25154
Critical

GNU Barcode w wersji 0.99 zawiera podatność na przepełnienie bufora w procesie kodowania Code 93, co pozwala atakującym na wywołanie uszkodzenia pamięci. Wykorzystując błędy graniczne podczas przetwarzania plików wejściowych, atakujący mogą potencjalnie wykonać dowolny kod na zaatakowanym systemie.

CVE-2018-25142
Critical

NovaRad NovaPACS Diagnostics Viewer w wersji 8.5.19.75 zawiera podatność na wstrzykiwanie zewnętrznych jednostek XML (XXE) w ustawieniach importu preferencji XML. Atakujący mogą stworzyć złośliwe pliki XML z parametrami DTD, aby uzyskać dostęp do dowolnych plików systemowych poprzez atak z wykorzystaniem kanału zewnętrznego.

CVE-2018-25135
Critical

Anviz AIM CrossChex Standard w wersji 4.3.6.0 zawiera podatność na wstrzykiwanie CSV, która pozwala atakującym na wykonywanie poleceń poprzez wstawianie złośliwych formuł w polach importu użytkowników. Atakujący mogą przygotować ładunki w polach takich jak 'Imię', 'Płeć' czy 'Stanowisko', co może prowadzić do uruchomienia makr Excela podczas importu danych użytkowników.

CVE-2018-25134
Critical

Synaccess netBooter NP-02x/NP-08x w wersji 6.8 zawiera podatność na obejście uwierzytelniania w skrypcie webNewAcct.cgi, która pozwala nieautoryzowanym atakującym na tworzenie kont użytkowników z uprawnieniami administratora. Atakujący mogą wykorzystać brak kontroli, wysyłając odpowiednio skonstruowane żądania POST.

CVE-2025-13773
Critical

Wtyczka Print Invoice & Delivery Notes dla WooCommerce w WordPressie jest podatna na zdalne wykonanie kodu we wszystkich wersjach do 5.8.0 włącznie, przez funkcję 'WooCommerce_Delivery_Notes::update'. Brak weryfikacji uprawnień oraz nieprawidłowe zabezpieczenia w pliku 'template.php' umożliwiają nieautoryzowanym atakującym wykonanie kodu na serwerze.

CVE-2025-68669
Critical

W wersjach 0.15.2 i wcześniejszych 5ire, wieloplatformowy asystent sztucznej inteligencji, zawiera podatność RCE w pliku useMarkdown.ts. Problem polega na tym, że wtyczka markdown-it-mermaid jest inicjowana z ustawieniem securityLevel: 'loose', co pozwala na renderowanie tagów HTML w węzłach diagramów Mermaid.

PreviousPage 198 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS