CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.10)
InnovaStudio WYSIWYG Editor w wersji 5.4 zawiera podatność na nieograniczone przesyłanie plików, która pozwala atakującym na obejście ograniczeń dotyczących rozszerzeń plików poprzez manipulację nazwą pliku. Atakujący mogą przesyłać złośliwe powłoki ASP, wykorzystując techniki null byte oraz alternatywne rozszerzenia plików.
Lilac-Reloaded w wersji 2.0.8 dla Nagios zawiera podatność na zdalne wykonanie kodu w funkcji autodiscovery, która pozwala atakującym na wstrzykiwanie dowolnych poleceń. Wykorzystując brak filtrowania wejścia w parametrze nmap_binary, atakujący mogą wykonać powłokę zwrotną, wysyłając odpowiednio skonstruowane żądanie POST do punktu końcowego autodiscovery.
Punkty końcowe usługi Glutton V1 były dostępne bez jakiejkolwiek autoryzacji w stosach Gotham, co mogło umożliwić użytkownikom bez odpowiednich uprawnień bezpośredni dostęp do backendu glutton i możliwość odczytu, aktualizacji lub usunięcia danych. Usługa została załatana i automatycznie wdrożona we wszystkich instancjach Gotham zarządzanych przez Apollo.
Podatność CVE-2025-1928 dotyczy systemu zamówień online firmy Restajet Information Technologies Inc. i polega na niewłaściwym ograniczeniu nadmiernych prób uwierzytelnienia, co umożliwia wykorzystanie funkcji odzyskiwania hasła.
Weblate to narzędzie do lokalizacji oparte na sieci. W wersjach przed 5.15.1 istniała możliwość zdalnego nadpisania konfiguracji Git oraz zmiany niektórych jego zachowań. Wersja 5.15.1 naprawia ten problem.
Dify up to version 1.5.1 includes default PostgreSQL credentials (username and password) in its docker-compose.yaml file. The vendor reports that PostgreSQL is not exposed on TCP port 5432 by default since version 1.0.1.
Podatność CVE-2025-64236 w AmentoTech Tuturn umożliwia obejście uwierzytelniania poprzez alternatywną ścieżkę lub kanał. Problem ten dotyczy wersji Tuturn przed 3.6.
Zidentyfikowano słabość w urządzeniu Tenda WH450 w wersji 1.0.0.18, która dotyczy nieznanej funkcji pliku /goform/onSSIDChange w komponencie obsługi żądań HTTP. Manipulacja argumentem ssid_index prowadzi do przepełnienia bufora na stosie.
W Dify w wersji 1.9.1 występuje podatność związana z błędną konfiguracją CORS w punkcie końcowym /console/api/setup. Polityka CORS jest niebezpieczna, ponieważ odzwierciedla dowolny nagłówek Origin i umożliwia ustawienie Access-Control-Allow-Credentials: true, co pozwala na autoryzowane żądania z dowolnych zewnętrznych domen.
W urządzeniu Tenda WH450 w wersji 1.0.0.18 odkryto lukę bezpieczeństwa, która dotyczy nieznanej funkcji pliku /goform/wirelessRestart w komponencie obsługi żądań HTTP. Manipulacja argumentem GO prowadzi do przepełnienia bufora na stosie.
W podatności CVE-2025-14860 występuje błąd use-after-free w komponencie API dostępu dla osób z niepełnosprawnościami. Problem ten został naprawiony w wersji Firefox 146.0.1.
W podatności CVE-2025-66078 występuje niewłaściwa kontrola generowania kodu ('wstrzykiwanie kodu') w wtyczce Hotel Booking Lite, co pozwala na zdalne włączenie kodu. Problem dotyczy wersji Hotel Booking Lite od n/a do 5.2.3 włącznie.
W podatności CVE-2025-66074 wtyczka WP Webhooks w Cozmoslabs umożliwia nieograniczone przesyłanie plików o niebezpiecznych typach, co prowadzi do ataków typu Path Traversal. Problem ten dotyczy wersji WP Webhooks od n/a do 3.3.8 włącznie.
Podatność CVE-2025-64374 w motywie Motors od StylemixThemes pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co może prowadzić do wykorzystania złośliwych plików. Problem dotyczy wersji Motors od n/a do 5.6.81 włącznie.
Podatność CVE-2025-64233 dotyczy deserializacji niezaufanych danych w Codiqa od BoldThemes, co umożliwia wstrzyknięcie obiektów. Problem ten występuje w wersjach Codiqa od n/a do poniżej 1.2.8.
Podatność CVE-2025-64231 dotyczy wtyczki RedefiningTheWeb WordPress Contact Form 7 PDF, Google Sheet & Database, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Problem ten występuje w wersjach od n/a do 3.0.0 włącznie.
Podatność CVE-2025-64227 dotyczy deserializacji niezaufanych danych w systemie fakturowania BoldGrid od Sprout Invoices, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji od n/a do 20.8.7 włącznie.
Podatność na deserializację niezaufanych danych w TieLabs Jannah umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji Jannah od n/a do 7.6.0 włącznie.
W podatności CVE-2025-64188 w PenciDesign Soledad występuje nieprawidłowe przypisanie uprawnień, co umożliwia eskalację uprawnień. Problem dotyczy wersji Soledad od n/a do 8.6.9 włącznie.
W podatności CVE-2025-60062 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w tPlayer w wersjach od n/a do 1.2.1.6.

