CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2025-59874
High

HCL Hive Telco Observability jest podatny na problem związany z brakującymi wymaganymi dyrektywami w polityce CSP w komponencie keycloak aplikacji webowej. Brak istotnych dyrektyw może narazić stronę na ataki.

CVE-2025-46638
High

Dell BSAFE SSL-J zawiera podatność na nieograniczone przydzielanie zasobów, co może prowadzić do ataku typu Denial of Service (DoS) przez nieautoryzowanego zdalnego napastnika.

CVE-2019-25745
High

Wtyczka WordPress Google Review Slider w wersji 6.1 zawiera podatność na czasową, ślepą injekcję SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru 'tid'. Atakujący mogą wysyłać żądania GET do interfejsu administracyjnego z złośliwymi wartościami 'tid', aby wydobyć wrażliwe informacje z bazy danych.

CVE-2019-25736
High

LabF nfsAxe 3.7 Ping Client zawiera podatność na przepełnienie bufora, która pozwala lokalnym atakującym na wykonanie dowolnego kodu poprzez dostarczenie złośliwego ładunku w polu Host IP. Atakujący mogą stworzyć specjalnie sformatowany plik wejściowy z kodem powłoki i nadpisać adres powrotu, aby uruchomić calc.exe lub inne dowolne polecenia.

CVE-2019-25735
High

AllPlayer 7.4 zawiera lokalną podatność na przepełnienie bufora w obsłudze URL, która pozwala atakującym na nadpisanie wskaźników obsługi wyjątków strukturalnych poprzez dostarczenie nadmiernie długiego ciągu URL. Atakujący mogą stworzyć złośliwy URL, wkleić go w oknie dialogowym Otwórz URL i wywołać wykonanie kodu opartego na SEH, co pozwala na uruchomienie dowolnych poleceń z uprawnieniami użytkownika.

CVE-2019-25733
High

NetShareWatcher w wersji 1.5.8.0 zawiera podatność na przepełnienie bufora w obsłudze wyjątków strukturalnych, która umożliwia lokalnym atakującym wykonanie dowolnego kodu poprzez dostarczenie złośliwego wejścia. Atakujący mogą stworzyć ładunek z nadpisanymi wskaźnikami SEH i NSEH za pomocą pola filtru niestandardowego Restrictions, aby wywołać wykonanie kodu podczas wywołania funkcji Find.

CVE-2019-25732
High

Skrypt PHP EI-Tube w wersji 3 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze wyszukiwania. Atakujący mogą wysyłać żądania GET do punktu końcowego wyszukiwania z przygotowanymi ładunkami SQL w parametrze zapytania, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, hasła i szczegóły wersji.

CVE-2019-25730
High

Listing Hub CMS w wersji 1.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania GET do pages.php z odpowiednio skonstruowanymi wartościami id, wykorzystując techniki wstrzykiwania SQL oparte na błędach.

CVE-2019-25728
High

Care2x w wersji 2.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych poleceń SQL poprzez manipulację parametrem cookie ck_config. Atakujący mogą wstrzykiwać złośliwy kod SQL w różnych punktach końcowych, takich jak login.php, indexframe.php oraz w różnych plikach modułów.

CVE-2019-25726
High

All in One Video Downloader w wersji 1.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr id. Atakujący mogą wysyłać żądania do interfejsu administracyjnego z ładunkami SQL opartymi na UNION, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, bazy danych i szczegóły wersji.

CVE-2026-45432
High

Podatność CVE-2026-45432 występuje w modelach GX Earth ONT z powodu przesyłania danych uwierzytelniających użytkowników w postaci niezaszyfrowanej przez HTTP w interfejsie zarządzania siecią. Zdalny atakujący może wykorzystać tę podatność, przechwytując ruch sieciowy, aby uzyskać wrażliwe informacje uwierzytelniające.

CVE-2026-45431
High

Podatność CVE-2026-45431 występuje w modelach GX Earth ONT z powodu niewłaściwego przetwarzania danych wejściowych dostarczonych przez użytkownika w wielu funkcjach diagnostycznych w interfejsie zarządzania przez sieć. Uwierzytelniony zdalny atakujący może wykorzystać tę podatność do wstrzykiwania i wykonywania dowolnych poleceń systemowych na docelowym urządzeniu.

CVE-2026-10843
High

A flaw was found in the OpenShift Cloud Credential Operator Mint-mode IAM policies for AWS. Operator credentials are provisioned with account-wide scope for destructive actions rather than being restricted to cluster-owned resources, enabling cross-scope impact after credential compromise.

CVE-2026-10840
High

A flaw in the OpenShift Pipelines operator allows the 'tekton-scheduler-rolebinding' ClusterRoleBinding to grant the 'system:authenticated' group write access to Kueue and cert-manager custom resources. Any authenticated user can disrupt workload scheduling, delete other tenants' Workload objects, or overwrite TLS Secrets including the default ingress controller certificate.

CVE-2025-52612
High

HCL iControl jest podatny na lukę typu CSV Injection, która umożliwia atak refleksyjny XSS. Problem wynika z niewystarczającego oczyszczania parametrów wejściowych.

CVE-2025-12694
High

A local privilege escalation vulnerability in Forcepoint VPN Client for Windows versions 6.11.3 and prior allows a non-administrative user to escalate privileges to SYSTEM.

CVE-2026-49771
High

Podatność CVE-2026-49771 dotyczy galerii zdjęć 10Web i polega na niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co umożliwia atak typu Blind SQL Injection. Problem ten występuje w wersjach od n/a do 1.8.41.

CVE-2026-50213
High

Punkt końcowy walidacji konta /v1/User/validate zwraca szczegółowe dane profilu użytkownika, które mogą być przeszukiwane poprzez iterację przewidywalnych ciągów identyfikacyjnych.

CVE-2026-50210
High

Urządzenie szyfruje dane przy użyciu AES-CBC z statycznymi, wypełnionymi zerami wektorami inicjalizacyjnymi (IV), co czyni je podatnym na ataki powtórzeniowe oraz odszyfrowanie znanego tekstu jawnego.

CVE-2026-50209
High

Wydarzenia rozgłoszeniowe umożliwiają złośliwemu oprogramowaniu zmianę domyślnego adresu punktu końcowego zarządzania urządzeniami mobilnymi (MDM), co prowadzi do przejęcia administracyjnej kontroli przez zewnętrznego atakującego.

PreviousPage 198 of 3362Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS