CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2018-25413
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr 'q'. Atakujący mogą wysyłać żądania GET do search.php z przygotowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych i szczegółów wersji.

CVE-2018-25411
High

MGB OpenSource Guestbook w wersji 0.7.0.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do email.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze 'id', aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy tabel i kolumn.

CVE-2018-25410
High

SIM-PKH w wersji 2.4.1 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do /admin/media.php z parametrami module=pengurus i act=editpengurus, zawierającymi instrukcje SQL UNION w celu wydobycia informacji z bazy danych.

CVE-2018-25409
High

SIM-PKH w wersji 2.4.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez kod PHP za pomocą parametru fupload. Atakujący mogą przesyłać pliki PHP przez punkt końcowy aksi_pengurus.php z parametrami module=pengurus i act=update, które są przechowywane w katalogu foto i wykonywane jako skrypty webowe.

CVE-2018-25408
High

Projekt Open ISES w wersji 3.30A zawiera podatność na przejście ścieżki w punkcie końcowym ajax/download.php, która pozwala nieautoryzowanym atakującym na pobieranie dowolnych plików poprzez manipulację parametrem nazwy pliku. Atakujący mogą dostarczyć sekwencje przejścia katalogu ../ w parametrze nazwy pliku, aby uzyskać dostęp do plików poza zamierzonym katalogiem.

CVE-2018-25407
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid w różnych modułach, aby uzyskać informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25406
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid w różnych modułach, aby wydobyć dane uwierzytelniające bazy danych, nazwy użytkowników oraz informacje o wersji.

CVE-2018-25405
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które umożliwiają nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid, co pozwala na wydobycie wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych oraz szczegółów wersji.

CVE-2026-10120
High

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20, która dotyczy funkcji formSetFirewallRule w pliku /goform/formSetFirewallRule. Manipulacja argumentem firewall_name prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne wykonanie ataku.

CVE-2026-10119
High

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20, która dotyczy funkcji formSetMACFilter w pliku /goform/formSetMACFilter. Manipulacja argumentem filter_name prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne wykorzystanie tej podatności.

CVE-2026-46242
High

A use-after-free (UAF) vulnerability was found in the Linux kernel's eventpoll (epoll) mechanism. The bug occurs in ep_remove(), which after clearing the file->f_ep pointer in a critical section still uses the struct file, allowing a concurrent __fput() to free memory, leading to writes into freed memory (UAF) for both struct eventpoll and struct file.

CVE-2026-9757
High

Wtyczka GEO my WP dla WordPressa jest podatna na atak typu SQL Injection poprzez parametry 'swlatlng' i 'nelatlng' we wszystkich wersjach do i włącznie z 4.5.5. Parametry te są odczytywane z $_SERVER['QUERY_STRING'] i interpolowane bez odpowiedniej walidacji do zapytania SQL, co umożliwia atakującym dodawanie dodatkowych zapytań SQL.

CVE-2026-7465
High

Wtyczka Spectra Gutenberg Blocks – Website Builder for the Block Editor dla WordPress jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.19.25. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej wykonanie kodu na serwerze.

CVE-2026-7459
High

Wtyczka Simple History – Track, Log, and Audit WordPress Changes dla WordPressa jest podatna na przejęcie konta użytkownika z poziomem uprawnień Subscriber+ we wszystkich wersjach do 5.26.0 włącznie. Wykorzystując punkty końcowe reakcji na zdarzenia, użytkownik może uzyskać dostęp do pełnego kontekstu zdarzeń, w tym do treści e-maila resetującego hasło dla dowolnego użytkownika.

CVE-2026-10111
High

W systemie zarządzania studentami sambitraj w wersji 1.0 znaleziono lukę, która dotyczy nieznanej funkcji na stronie logowania. Manipulacja argumentem email może prowadzić do wstrzyknięcia SQL.

CVE-2026-10110
High

W systemie zarządzania danymi studentów w wersji 1.0 wykryto podatność, która dotyczy nieznanej funkcji w pliku /index.php. Manipulacja argumentem 'roll' prowadzi do wstrzyknięcia SQL, co umożliwia zdalne przeprowadzenie ataku.

CVE-2026-48557
High

Spatie Laravel Media Library przed wersją 11.23.0 zawiera lukę umożliwiającą obejście ograniczeń przesyłania plików w metodzie FileAdder::defaultSanitizer(). Sanitizer sprawdza jedynie końcówkę nazwy pliku, co pozwala na obejście blokady przez pliki z podwójną rozszerzeniem, takie jak shell.php.jpg.

CVE-2026-48555
High

Spatie Laravel Media Library przed wersją 11.23.0 zawiera podatność typu server-side request forgery, która umożliwia zdalnym atakującym powodowanie, że serwer wysyła dowolne wychodzące żądania HTTP, przekazując kontrolowane przez użytkownika adresy URL do metody addMediaFromUrl() w pliku InteractsWithMedia.php.

CVE-2026-47266
High

Formie to wtyczka do Craft CMS służąca do tworzenia formularzy. W wersjach przed 2.2.21 i 3.1.26, nieautoryzowani użytkownicy mogli modyfikować istniejące zgłoszenia, przesyłając znane lub odgadnięte ID zgłoszenia do formie/submissions/save-submission.

CVE-2026-47123
High

FreeScout to darmowy system pomocy technicznej i wspólna skrzynka odbiorcza zbudowana na frameworku Laravel. W wersjach przed 1.8.220, proces przetwarzania e-maili w komendzie FetchEmails miał dwie ścieżki kodu do identyfikacji odpowiedzi agentów, co umożliwiało atakującym wstrzykiwanie fałszywych wiadomości jako odpowiedzi agentów.

PreviousPage 213 of 3356Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS