CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
W API REST H2O-3 (POST /99/ImportSQLTable) występuje podatność na deserializację, która dotyczy wszystkich wersji do 3.46.0.7. Podatność ta umożliwia zdalne wykonanie kodu (RCE) z powodu niewłaściwej walidacji parametrów połączenia JDBC przy użyciu formatu Key-Value.
W BootRom występuje potencjalny brak sprawdzenia rozmiaru ładunku. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W FDL1 występuje potencjalny brak sprawdzenia rozmiaru ładunku, co może prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
W BootROM brakuje sprawdzenia rozmiaru kluczy RSA podczas walidacji typu certyfikatu 0. Może to prowadzić do przepełnienia bufora pamięci bez konieczności posiadania dodatkowych uprawnień do wykonania.
Podatność w repozytorium h2oai/h2o-3 umożliwia atakującym wykorzystanie deserializacji nieufnych danych, co może prowadzić do wykonania dowolnego kodu oraz odczytu plików systemowych. Problem dotyczy najnowszej wersji gałęzi master 3.47.0.99999 i wynika z możliwości ominięcia filtrów wyrażeń regularnych, które mają na celu zapobieganie wstrzykiwaniu złośliwych parametrów w połączeniach JDBC.
W SkyBridge BASIC MB-A130 w wersji 1.5.8 i wcześniejszych występuje problem z niewłaściwym neutralizowaniem specjalnych elementów używanych w poleceniach systemowych, co prowadzi do podatności na atak typu 'OS Command Injection'. W przypadku wykorzystania tej luki, zdalny, nieautoryzowany atakujący może wykonywać dowolne polecenia systemowe z uprawnieniami roota.
Podatność CVE-2025-31100 w systemie zarządzania szkołą Mojoomla pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji od n/a do 1.93.1.
W podatności CVE-2024-32832 występuje brak autoryzacji w funkcji logowania za pomocą numeru telefonu w aplikacji Login with phone number, co może prowadzić do nieautoryzowanego dostępu. Problem dotyczy wersji od n/a do 1.6.93 włącznie.
TRENDnet TV-IP410 camera firmware vA1.0R contains an OS command injection vulnerability in the /server/cgi-bin/testserv.cgi component.
TSA opracowane przez Changing ma lukę w autoryzacji, która pozwala nieautoryzowanym atakującym zdalnym na odczyt, modyfikację i usuwanie zawartości bazy danych.
System obrazów klinicznych opracowany przez Changing zawiera twardo zakodowane dane uwierzytelniające, co pozwala nieautoryzowanym atakującym zdalnie zalogować się do systemu, używając danych administratora osadzonych w kodzie źródłowym.
Valtimo to platforma do automatyzacji procesów biznesowych. W wersjach przed 12.16.0.RELEASE oraz od 13.0.0.RELEASE do przed 13.1.2.RELEASE, administratorzy mogą uzyskać dostęp do wrażliwych danych lub zasobów, co może prowadzić do uruchamiania programów na hoście aplikacji oraz przeglądania i wydobywania danych z środowiska hosta.
Paymenter to darmowe i otwarte rozwiązanie sklepu internetowego dla hostingów. W wersjach przed 1.2.11 funkcjonalność załączników biletów pozwalała złośliwemu uwierzytelnionemu użytkownikowi na przesyłanie dowolnych plików, co mogło prowadzić do wycieku wrażliwych danych z bazy danych oraz uruchamiania dowolnych poleceń systemowych w kontekście użytkownika serwera WWW.
FreePBX, an open-source graphical user interface, has vulnerabilities in versions 15, 16, and 17 due to insufficiently sanitized user-supplied data. This allows unauthenticated access to the FreePBX Administrator, leading to arbitrary database manipulation and remote code execution.
W podatności CVE-2025-54738 występuje możliwość ominięcia uwierzytelnienia w motywie NooTheme Jobmonster, co pozwala na nadużycie uwierzytelnienia. Problem ten dotyczy wersji Jobmonster od n/a do 4.7.9 włącznie.
Podatność CVE-2025-54725 dotyczy systemu Golo, w którym możliwe jest obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach Golo od n/a do 1.7.0 włącznie.
W podatności CVE-2025-54720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w dodatkach SteelThemes Nest Addons. Problem dotyczy wersji dodatków od n/a do 1.6.3 włącznie.
Podatność CVE-2025-52761 dotyczy deserializacji niezaufanych danych w wtyczce WP Funnel Manager, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.0.
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce Miraculous Core Plugin pozwala na eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.7 włącznie.
Podatność CVE-2025-49387 dotyczy wtyczki Drag and Drop File Upload for Elementor Forms, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.

