CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.10)

CVE-2024-58299
Critical

Serwer FTP PCMan w wersji 2.0 zawiera podatność na przepełnienie bufora w komendzie 'pwd', co umożliwia zdalnym atakującym wykonanie dowolnego kodu. Atakujący mogą wysłać specjalnie przygotowany ładunek podczas procesu logowania FTP, aby nadpisać pamięć i potencjalnie uzyskać dostęp do systemu.

CVE-2024-14010
Critical

Typora w wersji 1.7.4 zawiera podatność na wstrzykiwanie poleceń w preferencjach eksportu PDF, co pozwala atakującym na wykonywanie dowolnych poleceń systemowych. Atakujący mogą wstrzykiwać złośliwe polecenia w polu 'uruchom polecenie' podczas eksportu PDF, co prowadzi do zdalnego wykonania kodu.

CVE-2025-65854
Critical

Insecure permissions in the scheduled tasks feature of MineAdmin v3.x allow attackers to execute arbitrary commands and perform a full account takeover.

CVE-2025-14344
Critical

Wtyczka Multi Uploader dla Gravity Forms w WordPressie jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji 'plupload_ajax_delete_file' we wszystkich wersjach do 1.1.7 włącznie. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

CVE-2025-12963
Critical

Wtyczka LazyTasks – Zarządzanie projektami i zadaniami z współpracą, Kanban i wykresami Gantta dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 1.2.29. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przez punkt końcowy REST API 'wp-json/lazytasks/api/v1/user/role/edit/'.

CVE-2025-13764
Critical

Wtyczka WP CarDealer dla WordPressa jest podatna na eskalację uprawnień we wszystkich wersjach do i włącznie z 1.2.16. Problem wynika z funkcji 'WP_CarDealer_User::process_register', która nie ogranicza ról użytkowników, z jakimi można się rejestrować.

CVE-2025-67511
Critical

Cybersecurity AI (CAI) to otwarte oprogramowanie do budowania i wdrażania automatyzacji opartej na sztucznej inteligencji. Wersje 0.5.9 i wcześniejsze są podatne na wstrzyknięcie poleceń przez funkcję run_ssh_command_with_credentials(), która jest dostępna dla agentów AI, ponieważ wartości nazwy użytkownika, hosta i portu są podatne na wstrzyknięcia.

CVE-2025-67510
Critical

Neuron to framework PHP do tworzenia i orkiestracji agentów AI. W wersjach 2.8.11 i niższych, MySQLWriteTool wykonuje dowolne zapytania SQL dostarczone przez wywołującego, co może prowadzić do niebezpiecznych operacji na bazie danych.

CVE-2025-13607
Critical

Złośliwy użytkownik może uzyskać dostęp do informacji konfiguracyjnych kamery, w tym danych logowania, bez konieczności uwierzytelnienia, gdy uzyskuje dostęp do podatnego adresu URL.

CVE-2025-13955
Critical

The Access Point functionality in EZCast Pro II before version 1.17478.177 has a predictable default Wi-Fi password, allowing attackers within Wi-Fi range to gain access to the device by calculating the default password from observable device identifiers.

CVE-2025-13954
Critical

In EZCast Pro II versions before 1.17478.177, hard-coded cryptographic keys in the admin UI allow attackers to bypass authorization checks and gain full access to the admin UI.

CVE-2025-13613
Critical

Wtyczka Elated Membership dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.2. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcje 'eltdf_membership_check_facebook_user' oraz 'eltdf_membership_login_user_from_social_network'.

CVE-2025-67506
Critical

PipesHub to platforma AI do automatyzacji pracy, która w wersjach przed 0.1.0-beta ma lukę w zabezpieczeniach. Brak autoryzacji na końcówce POST /api/v1/record/buffer/convert pozwala atakującemu na przesyłanie plików i nadpisywanie ich w dowolnej lokalizacji, co może prowadzić do złośliwego działania.

CVE-2025-66039
Critical

Moduł Endpoint Manager w systemach FreePBX jest podatny na obejście uwierzytelnienia, gdy typ uwierzytelnienia jest ustawiony na 'webserver'. Umożliwia to powiązanie sesji z docelowym użytkownikiem przy użyciu nagłówka Authorization z dowolną wartością, niezależnie od poprawnych poświadczeń.

CVE-2025-67489
Critical

Wtyczka @vitejs/plugin-rs, która obsługuje komponenty serwerowe React (RSC) dla Vite, w wersjach 0.5.5 i poniżej jest podatna na zdalne wykonanie dowolnego kodu na serwerze deweloperskim. Problem wynika z niebezpiecznych dynamicznych importów w API funkcji serwerowych, co może prowadzić do ujawnienia wrażliwych danych.

CVE-2021-47731
Critical

Kamera Selea Targa IP OCR-ANPR zawiera podatność na twardo zakodowane hasło dewelopera, co umożliwia nieautoryzowany dostęp do konfiguracji przez nieudokumentowaną stronę. Atakujący mogą wykorzystać ukryty punkt końcowy, używając zakodowanego hasła 'Selea781830', aby włączyć przesyłanie konfiguracji i nadpisać ustawienia urządzenia.

CVE-2021-47728
Critical

Kamera Selea Targa IP OCR-ANPR zawiera podatność na nieautoryzowaną iniekcję poleceń w pliku utils.php, co pozwala zdalnym atakującym na wykonywanie dowolnych poleceń powłoki. Atakujący mogą wykorzystać parametry 'addr' i 'port' do wstrzykiwania poleceń oraz uzyskania dostępu do użytkownika www-data poprzez techniki łańcuchowej lokalnej inkluzji plików.

CVE-2025-64113
Critical

Emby Server to serwer multimedialny, który można zainstalować samodzielnie. Wersje poniżej 4.9.1.81 pozwalają atakującemu uzyskać pełny dostęp administracyjny do serwera Emby, jednak nie na poziomie systemu operacyjnego.

CVE-2025-65882
Critical

In OpenMPTCProuter up to version 0.64, a vulnerability was found in the file common/package/utils/sys-upgrade-helper/src/tools/sysupgrade.c in the function create_xor_ipad_opad, allowing potential arbitrary file writes or arbitrary command execution.

CVE-2025-59719
CriticalEPSS 52%

An improper verification of cryptographic signature vulnerability exists in Fortinet FortiWeb versions 8.0.0, 7.6.0 through 7.6.4, and 7.4.0 through 7.4.9. This may allow an unauthenticated attacker to bypass FortiCloud SSO login authentication via a crafted SAML response message.

PreviousPage 202 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS