CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2018-25404
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze ticket_id. Atakujący mogą wysyłać żądania GET do pliku add_facnote.php z odpowiednio skonstruowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym szczegóły wersji i inne dane.

CVE-2018-25403
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr p1. Atakujący mogą wysyłać żądania GET do city_graph.php z przygotowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych, w tym nazw schematów i innych danych.

CVE-2018-25402
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr p1. Atakujący mogą wysyłać żądania GET do inc_types_graph.php z odpowiednio przygotowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy schematów i inne dane.

CVE-2018-25401
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr p1. Atakujący mogą wysyłać żądania GET do pliku sever_graph.php z odpowiednio skonstruowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy schematów i inne dane.

CVE-2018-25400
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do punktu końcowego ajax/form_post.php z odpowiednio skonstruowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy schematów i inne dane.

CVE-2018-25399
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrach tick_lat i tick_lng. Atakujący mogą wysyłać żądania GET do nearby.php z przygotowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych i szczegółów wersji.

CVE-2018-25398
High

Projekt Open ISES w wersji 3.30A zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze frm_passwd. Atakujący mogą wysyłać żądania POST do main.php z odpowiednio przygotowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych oraz szczegóły wersji.

CVE-2018-25396
High

Termostat Wifi Heatmiser w wersji 1.7 zawiera podatność na ujawnienie poświadczeń, która pozwala nieautoryzowanym atakującym na uzyskanie dostępu do danych administracyjnych poprzez stronę networkSetup.htm. Atakujący mogą wysłać żądanie do tego punktu końcowego i wydobyć wartości nazwy użytkownika i hasła w postaci tekstu jawnego z pól formularza HTML.

CVE-2018-25395
High

Kados R10 GreenBee zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr feature_id w pliku boards_buttons/update_feature.php. Wartość feature_id jest bezpośrednio łączona z instrukcjami SQL bez sanitizacji.

CVE-2018-25394
High

Kados R10 GreenBee zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr release_id w pliku boards_buttons/update_release.php. Wartość release_id jest bezpośrednio łączona z instrukcjami SQL bez sanitizacji.

CVE-2018-25392
High

Oprogramowanie MaxOn ERP w wersjach 8.x-9.x zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym użytkownikom na wykonywanie dowolnych zapytań SQL poprzez parametry nomor, user i jenis w funkcji log_activity. Atakujący mogą wysyłać żądania POST do /index.php/user/log_activity z złośliwym kodem SQL w tych parametrach.

CVE-2018-25391
High

HaPe PKH w wersji 1.1 nie wymusza autoryzacji na punktach końcowych usuwania rekordów, co pozwala nieautoryzowanym atakującym na usunięcie dowolnych rekordów poprzez wysłanie spreparowanego żądania z identyfikatorem docelowego rekordu. Punkty końcowe admin/modul/mod_pengurus/aksi_pengurus.php oraz admin/modul/mod_update/aksi_update.php przetwarzają usunięcia bez weryfikacji uprawnień żądającego.

CVE-2018-25390
High

HaPe PKH w wersji 1.1 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym manipulować zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru POST 'desa' wysyłanego do lap-peserta-perdesa-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.

CVE-2018-25389
High

HaPe PKH w wersji 1.1 zawiera podatność typu SQL injection, która pozwala nieautoryzowanym atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru 'nama_kelompok' w żądaniu POST wysyłanym do lap-anggota-kelompok-pdf.php. Atakujący mogą wysłać spreparowane żądanie z ładunkiem opartym na czasie, aby wydobyć wrażliwe informacje z bazy danych.

CVE-2018-25388
High

HaPe PKH w wersji 1.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez obejście walidacji typu pliku. Atakujący mogą przesyłać pliki PHP przez różne punkty końcowe, w tym aksi_foto.php, aksi_user.php i aksi_kecamatan.php, co umożliwia wykonanie dowolnego kodu na serwerze.

CVE-2018-25386
High

HaPe PKH w wersji 1.1 zawiera wiele podatności typu SQL injection w pliku admin/media.php, które pozwalają atakującym na manipulację zapytaniami do bazy danych poprzez wstrzykiwanie kodu SQL przez parametr 'id'. Atakujący nieautoryzowany może wykorzystać moduł desa, podczas gdy użytkownicy autoryzowani mogą wykorzystać moduły pengurus, fasilitas i kelompok.

CVE-2018-25385
High

E-Registrasi Pencak Silat w wersji 18.10 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze id_partai. Atakujący mogą wysyłać żądania GET do monitor_nilai.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze id_partai, aby wydobyć wrażliwe informacje z bazy danych, w tym dane logowania administratora oraz dane użytkowników.

CVE-2018-25383
High

Free MP3 CD Ripper w wersji 2.8 zawiera podatność na przepełnienie bufora na stosie podczas przetwarzania plików WMA. Umożliwia to lokalnym atakującym ominięcie ochrony DEP poprzez manipulację obsługą wyjątków.

CVE-2018-25382
High

Zechat w wersji 1.5 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wydobycie informacji z bazy danych poprzez wstrzykiwanie kodu SQL za pomocą parametru uname. Atakujący mogą wysyłać spreparowane żądania do profile.php z ładunkami SQL opartymi na UNION, aby uzyskać nazwy tabel, nazwy kolumn oraz wrażliwe dane z bazy danych information_schema.

CVE-2026-45609
High

Framework mcp-security, który wspiera bezpieczeństwo i autoryzację dla Model Context Protocol w Spring AI, przed wersją 0.1.9 nie implementował obowiązkowych zabezpieczeń przed SSRF zgodnie z specyfikacjami bezpieczeństwa MCP. Problem dotyczy przetwarzania niezweryfikowanych adresów URL związanych z OAuth, co może prowadzić do ataków.

PreviousPage 216 of 3356Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS