CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
W interfejsie zarządzania opartym na sieci web urządzenia NETLINK HG322G V1.0.00-231017 występuje niewłaściwa autoryzacja, która umożliwia zdalnemu, nieautoryzowanemu atakującemu eskalację uprawnień oraz zablokowanie dostępu do konta prawowitego administratora za pomocą odpowiednio skonstruowanych żądań HTTP.
Nieautoryzowany atakujący z dostępem do portu TCP 12306 serwera WorkExaminer może wykorzystać brak serwerowych kontroli uwierzytelniania, aby ominąć ekran logowania w konsoli WorkExaminer Professional i uzyskać dostęp administracyjny do serwera. To umożliwia dostęp do wszystkich wrażliwych danych monitorujących, w tym zrzutów ekranu i naciśnięć klawiszy wszystkich użytkowników.
Wtyczka FormGent dla WordPressa w wersjach przed 1.0.4 jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.
Podatność w silniku analizy behawioralnej systemu Windows 10 pozwala na ominięcie detekcji próbek złośliwego oprogramowania poprzez ich rekurencyjne uruchamianie, co prowadzi do wyczerpania zasobów systemowych. W efekcie kluczowe złośliwe zachowania mogą nie być rejestrowane ani raportowane.
W podatności CVE-2025-9574 występuje brak uwierzytelnienia dla krytycznej funkcji w urządzeniach ABB ALS-mini-s4 IP oraz ABB ALS-mini-s8 IP. Problem ten dotyczy wszystkich wersji oprogramowania układowego z numerem seryjnym od 2000 do 5166.
W wersjach Dolby UDC od 4.5 do 4.13 odkryto problem, który może prowadzić do awarii procesu dekodera DD+ podczas przetwarzania źle sformatowanego strumienia bitowego DD+. Błąd w obliczeniach długości zapisu może spowodować przepełnienie, co skutkuje zbyt małym przydzielonym buforem i nieskuteczną kontrolą dostępu do pamięci.
W aplikacji Bhabishya-123 E-commerce w wersji 1.0 występuje podatność na atak typu SQL Injection w punkcie końcowym signup.inc.php. Aplikacja bezpośrednio włącza niesanitizowane dane wejściowe użytkowników do zapytań SQL, co pozwala nieautoryzowanym atakującym na ominięcie uwierzytelnienia i uzyskanie pełnego dostępu.
System zarządzania dokumentami opracowany przez Excellent Infotek posiada podatność na nieautoryzowane przesyłanie plików, co pozwala nieautoryzowanym zdalnym atakującym na przesyłanie i uruchamianie złośliwych skryptów typu web shell, umożliwiając tym samym wykonanie dowolnego kodu na serwerze.
Wtyczka PPOM – Product Addons & Custom Fields dla WooCommerce w WordPressie jest podatna na nieautoryzowane przesyłanie plików z powodu braku walidacji typu pliku w funkcjonalności przycinania obrazów we wszystkich wersjach do 33.0.15 włącznie. Umożliwia to nieautoryzowanym atakującym przesyłanie dowolnych plików na serwer dotkniętej witryny.
W wersjach 0.3.1 i wcześniejszych frameworka pyquokka, klasa FlightServer używa funkcji pickle.loads() do deserializacji danych akcji otrzymywanych od klientów Flight bez jakiejkolwiek sanitizacji lub walidacji. To stwarza możliwość wykonania zdalnego kodu przez atakujących, gdy FlightServer jest skonfigurowany do nasłuchiwania na 0.0.0.0.
An arbitrary file upload vulnerability in SigningHub v8.6.8 allows attackers to execute arbitrary code via uploading a crafted PDF file.
Wszystkie wersje IDE Windsurf zawierają podatność typu przejście ścieżki, która umożliwia atakującemu odczyt i zapis dowolnych lokalnych plików w obrębie oraz poza aktualnymi projektami na systemie użytkownika końcowego. Do podatności można uzyskać dostęp bezpośrednio oraz poprzez pośrednie wstrzykiwanie poleceń.
W podatności CVE-2025-60279 w Illia Cloud illia-Builder przed wersją 4.8.5 występuje luka typu server-side request forgery (SSRF), która pozwala uwierzytelnionym użytkownikom na wysyłanie dowolnych żądań do wewnętrznych usług za pośrednictwem API. Atakujący może wykorzystać tę lukę do enumeracji otwartych portów na podstawie różnic w odpowiedziach oraz interakcji z wewnętrznymi usługami.
A remote code execution (RCE) vulnerability exists in the PluXml CMS theme editor, specifically in the minify.php file under the default theme directory. An authenticated administrator can overwrite this file with arbitrary PHP code via the admin panel.
W wersjach frameworka Keras od 3.11.0 do 3.11.2 może wystąpić deserializacja nieufnych danych, co pozwala na uruchomienie dowolnego kodu na systemie końcowego użytkownika. Złośliwie przesłany plik Keras zawierający klasę TorchModuleWrapper może zostać załadowany mimo włączonego trybu bezpiecznego.
Niektóre wersje produktu iSecure Center firmy Hikvision zawierają niewystarczającą walidację parametrów, co prowadzi do podatności na wstrzykiwanie poleceń. Atakujący mogą wykorzystać tę lukę, aby uzyskać uprawnienia platformy i wykonywać dowolne polecenia w systemie.
Niektóre wersje produktu iSecure Center firmy Hikvision mają lukę związaną z niewłaściwą kontrolą przesyłania plików. Z powodu niewłaściwej weryfikacji plików do przesłania, atakujący mogą przesyłać złośliwe pliki na serwer.
Wersje pakietu mammoth od 0.3.25 do przed 1.11.0 są podatne na atak typu Directory Traversal z powodu braku walidacji ścieżek lub typów plików podczas przetwarzania pliku docx zawierającego obraz z zewnętrznym linkiem. Atakujący może odczytać dowolne pliki na systemie, w którym odbywa się konwersja, lub spowodować nadmierne zużycie zasobów.
iSherlock opracowany przez HGiga zawiera podatność na wstrzykiwanie poleceń systemowych, która umożliwia nieautoryzowanym zdalnym atakującym wstrzykiwanie dowolnych poleceń systemowych i ich wykonywanie na serwerze.
Wtyczka Felan Framework dla WordPressa jest podatna na niewłaściwą autoryzację w wersjach do 1.1.4 włącznie. Problem wynika z hardcodowanego hasła w funkcjach 'fb_ajax_login_or_register' oraz 'google_ajax_login_or_register', co umożliwia nieautoryzowanym atakującym logowanie się jako dowolny istniejący użytkownik, jeśli zarejestrował się za pomocą logowania społecznościowego Facebook lub Google i nie zmienił hasła.

