CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2026-9808
High

W Mautic 7 API v2 występuje luka w autoryzacji, która pozwala na ominięcie ograniczeń związanych z zakresem właściciela. W określonych warunkach, role z ograniczeniami takimi jak `viewown` lub `editown` nie są prawidłowo egzekwowane, co umożliwia użytkownikom API o niskich uprawnieniach dostęp do zasobów innych użytkowników.

CVE-2025-41281
High

W wersji 7.9.1.0 R2502171040 urządzenia Waterfall WF-500 RX Host zidentyfikowano podatność CWE-78, która umożliwia atakującym z dostępem do TX Host wykonanie kodu na RX Host poprzez wstrzyknięcie poleceń systemowych, gdy skonfigurowany jest konektor MySQL.

CVE-2025-41280
High

W wersji 7.9.1.0 R2502171040 urządzenia Waterfall WF-500 RX Host zidentyfikowano podatność CWE-23: Relative Path Traversal (Zip Slip). Umożliwia ona atakującym z dostępem do TX Host wykonanie kodu na RX Host, gdy skonfigurowany jest konektor MySQL i włączona jest kompresja plików.

CVE-2025-41279
High

W wersji 7.9.1.0 R2502171040 interfejsu administracyjnego WebUI urządzenia Waterfall WF-500 RX zidentyfikowano podatność typu CWE-78, która pozwala zdalnym, uwierzytelnionym atakującym na wykonywanie dowolnych poleceń systemu operacyjnego na hoście WF-500 RX.

CVE-2025-41278
High

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-125: Odczyt poza granicami w urządzeniu Waterfall WF-500 RX Host w wersji 7.10.0.0 R2601141040, która umożliwia atakującym z dostępem do TX Host wykonanie kodu na RX Host.

CVE-2025-41271
High

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-23: Przechodzenie przez względne ścieżki w interfejsie webowym konsoli w urządzeniach Waterfall WF-500 TX i RX w wersji 7.9.1.0 R2502171040, która pozwala zdalnym, nieautoryzowanym atakującym na odczyt dowolnych plików z urządzenia.

CVE-2025-41267
High

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('Wstrzyknięcie polecenia OS') w interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX Host w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na WF-500 TX Host.

CVE-2025-41266
High

W interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX w wersji 7.9.1.0 R2502171040 zidentyfikowano podatność typu CWE-78, która pozwala na niewłaściwą neutralizację specjalnych elementów używanych w poleceniach systemu operacyjnego. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na hoście WF-500 TX.

CVE-2025-41265
High

W laboratoriach Nozomi Networks zidentyfikowano podatność CWE-78: Niewłaściwe neutralizowanie specjalnych elementów używanych w poleceniach systemu operacyjnego ('OS Command Injection') w interfejsie administracyjnym WebUI urządzenia Waterfall WF-500 TX w wersji 7.9.1.0 R2502171040. Umożliwia to zdalnym, uwierzytelnionym atakującym wykonywanie dowolnych poleceń systemowych na hoście WF-500 TX.

CVE-2026-46579
High

A flaw in OpenShift Router allows an unauthenticated attacker to send plain HTTP requests with crafted `X-SSL-Client-*` headers when a Route has `insecureEdgeTerminationPolicy` set to Allow, bypassing mutual TLS authentication and impersonating client certificate identities.

CVE-2026-42965
High

A flaw in OpenShift Router allows a user with EndpointSlice write access to create a Service backed by an FQDN EndpointSlice that resolves to a cloud metadata endpoint. The router then proxies requests to this endpoint, leading to disclosure of instance credentials and other sensitive metadata. This bypasses previous IP address validation security measures.

CVE-2026-6075
High

Wtyczka Media Library Assistant dla WordPressa jest podatna na atak typu Cross-Site Request Forgery w wersjach do 3.35 włącznie. Brak weryfikacji nonce w obsłudze akcji zbiorczych w zakładce ustawień umożliwia nieautoryzowanym atakującym oszukanie administratora w celu wykonania zbiorczych operacji usuwania, edytowania lub czyszczenia ustawień wtyczki oraz metadanych załączników.

CVE-2026-49196
High

The Wi-Fi device blocking feature fails to sanitize MAC address input, allowing injection and execution of arbitrary shell commands.

CVE-2026-49195
High

Unauthenticated Debug Service is exposed on TCP port 9000. The /sbin/mtk_dut binary allows LAN-based attackers to execute arbitrary UCC commands.

CVE-2026-10056
High

Błąd konfiguracji CORS w API REST Network Optix Nx Witness VMS przed wersją 6.1.2, działającym w domyślnym trybie bezpieczeństwa Standard, umożliwia nieautoryzowanemu atakującemu zdalne kradzież tokena sesji uwierzytelnionego użytkownika oraz przejęcie konta administratora poprzez złośliwą stronę internetową odwiedzaną przez ofiarę. Tryb wysokiego bezpieczeństwa nie jest dotknięty.

CVE-2026-4776
High

W Mautic występuje podatność na wstrzykiwanie SQL w mechanizmie filtrowania kontaktów API. Z powodu niewystarczającego oczyszczania zagnieżdżonych parametrów zapytania, uwierzytelniony użytkownik API może obejść filtrację wejścia i wstrzyknąć dowolne polecenia SQL.

CVE-2025-11262
High

Wtyczka Link Whisper Free dla WordPressa jest podatna na przechowywane ataki Cross-Site Scripting (XSS) poprzez parametr user_id we wszystkich wersjach do 0.9.0 włącznie, z powodu niewystarczającej sanitizacji wejścia i ucieczki wyjścia. Umożliwia to nieautoryzowanym atakującym wstrzykiwanie dowolnych skryptów webowych na stronach, które będą wykonywane, gdy użytkownik uzyska dostęp do zainfekowanej strony.

CVE-2025-11993
High

Wtyczka WooCommerce Infinite Scroll i Ajax Pagination dla WordPressa jest podatna na wstrzykiwanie obiektów PHP we wszystkich wersjach do 1.8 włącznie, poprzez parametr 'settings' w funkcji 'import_settings'. Problem wynika z deserializacji niezaufanych danych dostarczonych przez funkcję importu konfiguracji bez odpowiednich kontroli uprawnień.

CVE-2026-9999
High

Nieodpowiednia implementacja w ANGLE w Google Chrome na Macu przed wersją 148.0.7778.216 umożliwiała zdalnemu atakującemu wykonanie dowolnego kodu wewnątrz piaskownicy za pomocą spreparowanej strony HTML.

CVE-2026-9998
High

Przepełnienie całkowitej liczby w Skia w Google Chrome przed wersją 148.0.7778.216 umożliwia zdalnemu atakującemu, który przejął proces renderowania, potencjalne wykonanie ucieczki z piaskownicy za pomocą spreparowanej strony HTML.

PreviousPage 217 of 3355Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS