CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
Coolify to narzędzie typu open-source do zarządzania serwerami, aplikacjami i bazami danych. Przed wersją 4.0.0-beta.451 występowała podatność na wstrzyknięcie poleceń w funkcjonalności tworzenia kopii zapasowych baz danych, umożliwiająca użytkownikom z uprawnieniami do zarządzania aplikacjami/serwisami wykonywanie dowolnych poleceń jako root na zarządzanych serwerach.
W Tenda WH450 w wersji 1.0.0.18 odkryto podatność, która dotyczy nieznanej funkcji pliku /goform/PPTPDClient w komponencie obsługi żądań HTTP. Manipulacja argumentem Username prowadzi do przepełnienia bufora na stosie.
Podatność CVE-2025-14500 w IceWarp14 umożliwia zdalnym atakującym wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwego przetwarzania nagłówka X-File-Operation, co pozwala na wykonanie systemowego wywołania bez odpowiedniej walidacji.
Podatność CVE-2025-14931 w Hugging Face smolagents pozwala zdalnym atakującym na wykonanie dowolnego kodu na zainfekowanych instalacjach. Problem wynika z niewłaściwej walidacji danych dostarczanych przez użytkownika podczas analizy danych pickle.
In Eclipse Cyclone DDS before version 0.10.5, improper verification of the time certificate allows attackers to bypass certificate checks and execute commands with System privileges.
eProsima Fast-DDS version 3.3 was found to have improper validation for ticket revocation, resulting in insecure communications and connections.
Wtyczka PhastPress dla WordPressa jest podatna na nieautoryzowane odczyty plików poprzez wstrzyknięcie bajtu null we wszystkich wersjach do 3.7 włącznie. Problem wynika z niezgodności w walidacji rozszerzeń, co umożliwia atakującym odczyt dowolnych plików z katalogu głównego, w tym wp-config.php.
net-snmp to biblioteka aplikacji SNMP, narzędzia i demon. Przed wersjami 5.9.5 i 5.10.pre2, specjalnie skonstruowany pakiet wysłany do demona snmptrapd może spowodować przepełnienie bufora i awarię demona.
An authentication bypass vulnerability in Xiongmai XM530 IP cameras running Firmware V5.00.R02.000807D8.10010.346624.S.ONVIF 21.06 allows unauthenticated remote attackers to access sensitive device information and live video streams. The ONVIF implementation fails to enforce authentication on 31 critical endpoints, enabling direct unauthorized video stream access.
ClipBucket 5.5.2 is shipped with hardcoded default administrative credentials. An unauthenticated remote attacker can log in to the admin panel, gaining full administrative control of the application.
An arbitrary file upload vulnerability in Umbraco CMS v16.3.3 allows attackers to execute arbitrary code by uploading a crafted PDF file. The supplier disputes this, stating that file validation is the administrator's responsibility and that PDF JavaScript runs in an isolated sandbox.
An arbitrary file upload vulnerability in the Attachments module of Frappe Framework v15.89.0 allows attackers to execute arbitrary code by uploading a crafted XML file.
Baza danych w chmurze przedsiębiorstwa opracowana przez Ragic zawiera podatność na twardo zakodowany klucz kryptograficzny, co pozwala nieautoryzowanym atakującym zdalnie wykorzystać ten stały klucz do generowania informacji weryfikacyjnych i logowania się do systemu jako dowolny użytkownik.
Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18. Podatność dotyczy nieznanej funkcjonalności pliku /goform/CheckTools w komponencie obsługi żądań HTTP, co prowadzi do przepełnienia bufora na stosie.
Wtyczka Flex Store Users dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do 1.1.0 włącznie. Problem wynika z braku ograniczeń w funkcjach 'fsUserHandle::signup' oraz 'fsSellerRole::add_role_seller', co pozwala nieautoryzowanym atakującym na rejestrację z rolą 'administrator'.
Wtyczka File Uploader dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcji zwrotnej dla punktu końcowego REST API 'add-image-data' we wszystkich wersjach do 1.0.3 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików do usługi Uploadcare.
n8n to platforma automatyzacji procesów roboczych typu open source. Wersje od 0.211.0 do 1.120.4, 1.121.1 i 1.122.0 zawierają krytyczną podatność na zdalne wykonanie kodu (RCE) w systemie oceny wyrażeń procesów roboczych, co może umożliwić atakującym wykonanie dowolnego kodu.
Klient FileZilla w wersji 3.63.1 zawiera podatność na hijacking DLL, która umożliwia atakującym wykonanie złośliwego kodu poprzez umieszczenie spreparowanego pliku TextShaping.dll w katalogu aplikacji. Atakujący mogą wykorzystać msfvenom do wygenerowania ładunku odwrotnego shell'a i zastąpienia brakującego DLL, co prowadzi do zdalnego wykonania kodu przy uruchomieniu aplikacji.
Kimai w wersji 1.30.10 zawiera podatność na ciasteczka SameSite, która umożliwia atakującym kradzież ciasteczek sesyjnych użytkowników poprzez złośliwe wykorzystanie. Atakujący mogą oszukać ofiary, aby wykonały spreparowany skrypt PHP, który przechwytuje i zapisuje informacje o ciasteczkach sesyjnych do pliku.
Ever Gauzy w wersji 0.281.9 zawiera podatność na uwierzytelnianie JWT, która pozwala atakującym wykorzystać słabą implementację klucza HMAC. Atakujący mogą wykorzystać ujawniony token JWT do uwierzytelnienia i uzyskania nieautoryzowanego dostępu z uprawnieniami administratora.

