CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2023-53950
Critical

InnovaStudio WYSIWYG Editor w wersji 5.4 zawiera podatność na nieograniczone przesyłanie plików, która pozwala atakującym na obejście ograniczeń dotyczących rozszerzeń plików poprzez manipulację nazwą pliku. Atakujący mogą przesyłać złośliwe powłoki ASP, wykorzystując techniki null byte oraz alternatywne rozszerzenia plików.

CVE-2023-53948
Critical

Lilac-Reloaded w wersji 2.0.8 dla Nagios zawiera podatność na zdalne wykonanie kodu w funkcji autodiscovery, która pozwala atakującym na wstrzykiwanie dowolnych poleceń. Wykorzystując brak filtrowania wejścia w parametrze nmap_binary, atakujący mogą wykonać powłokę zwrotną, wysyłając odpowiednio skonstruowane żądanie POST do punktu końcowego autodiscovery.

CVE-2024-49587
Critical

Punkty końcowe usługi Glutton V1 były dostępne bez jakiejkolwiek autoryzacji w stosach Gotham, co mogło umożliwić użytkownikom bez odpowiednich uprawnień bezpośredni dostęp do backendu glutton i możliwość odczytu, aktualizacji lub usunięcia danych. Usługa została załatana i automatycznie wdrożona we wszystkich instancjach Gotham zarządzanych przez Apollo.

CVE-2025-1928
Critical

Podatność CVE-2025-1928 dotyczy systemu zamówień online firmy Restajet Information Technologies Inc. i polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia wykorzystanie funkcji odzyskiwania hasła.

CVE-2025-68398
Critical

Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach przed 5.15.1 istniała możliwość zdalnego nadpisania konfiguracji Git oraz zmiany niektórych jego zachowań. Wersja 5.15.1 naprawia ten problem.

CVE-2025-56157
CriticalEPSS 52%

Dify up to version 1.5.1 includes default PostgreSQL credentials (username and password) in its docker-compose.yaml file. The vendor reports that PostgreSQL is not exposed on TCP port 5432 by default since version 1.0.1.

CVE-2025-64236
Critical

Podatność CVE-2025-64236 w AmentoTech Tuturn umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Tuturn przed 3.6.

CVE-2025-14879
Critical

Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18, która dotyczy nieznanej funkcji pliku /goform/onSSIDChange w komponencie obsługi żądań HTTP. Manipulacja argumentem ssid_index prowadzi do przepełnienia bufora na stosie.

CVE-2025-63386
Critical

W Dify w wersji 1.9.1 występuje podatność związana z błędną konfiguracją CORS w punkcie końcowym /console/api/setup. Polityka CORS jest niebezpieczna, ponieważ odzwierciedla dowolny nagłówek Origin i umożliwia ustawienie Access-Control-Allow-Credentials: true, co pozwala na autoryzowane żądania z dowolnych zewnętrznych domen.

CVE-2025-14878
Critical

W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /goform/wirelessRestart w komponencie obsługi żądań HTTP. Manipulacja argumentem GO prowadzi do przepełnienia bufora na stosie.

CVE-2025-14860
Critical

W podatności CVE-2025-14860 występuje błąd use-after-free w komponencie API dostępu dla osób z niepełnosprawnościami. Problem ten został naprawiony w wersji Firefox 146.0.1.

CVE-2025-66078
Critical

W podatności CVE-2025-66078 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w wtyczce Hotel Booking Lite, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji Hotel Booking Lite od n/a do 5.2.3 włącznie.

CVE-2025-66074
Critical

W podatności CVE-2025-66074 wtyczka WP Webhooks w Cozmoslabs umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co prowadzi do ataków typu Path Traversal. Problem ten dotyczy wersji WP Webhooks od n/a do 3.3.8 włącznie.

CVE-2025-64374
Critical

Podatność CVE-2025-64374 w motywie Motors od StylemixThemes pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Motors od n/a do 5.6.81 włącznie.

CVE-2025-64233
Critical

Podatność CVE-2025-64233 dotyczy deserializacji niezaufanych danych w Codiqa od BoldThemes, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach Codiqa od n/a do poniżej 1.2.8.

CVE-2025-64231
Critical

Podatność CVE-2025-64231 dotyczy wtyczki RedefiningTheWeb WordPress Contact Form 7 PDF, Google Sheet & Database, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 3.0.0 włącznie.

CVE-2025-64227
Critical

Podatność CVE-2025-64227 dotyczy deserializacji niezaufanych danych w systemie fakturowania BoldGrid od Sprout Invoices, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 20.8.7 włącznie.

CVE-2025-64206
Critical

Podatność na deserializację niezaufanych danych w TieLabs Jannah umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Jannah od n/a do 7.6.0 włącznie.

CVE-2025-64188
Critical

W podatności CVE-2025-64188 w PenciDesign Soledad występuje nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji Soledad od n/a do 8.6.9 włącznie.

CVE-2025-60062
Critical

W podatności CVE-2025-60062 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w tPlayer w wersjach od n/a do 1.2.1.6.

PreviousPage 200 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS