CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.13)

CVE-2025-34523
Critical

A heap-based buffer overflow vulnerability exists in the network-facing input handling routines of Arcserve Unified Data Protection (UDP) that can be exploited by a remote attacker without authentication. By sending specially crafted data, an attacker can corrupt heap memory, potentially leading to denial of service or arbitrary code execution.

CVE-2025-34163
Critical

Dongsheng Logistics Software exposes an unauthenticated endpoint at /CommMng/Print/UploadMailFile that fails to enforce proper file type validation and access control. An attacker can upload arbitrary files, including executable scripts, allowing remote code execution on the server.

CVE-2025-34162
Critical

An unauthenticated SQL injection vulnerability exists in the GetLyfsByParams endpoint of Bian Que Feijiu Intelligent Emergency and Quality Control System. The issue arises from improper sanitization of user-supplied input in the strOpid parameter, allowing attackers to inject arbitrary SQL statements.

CVE-2025-41702
Critical

Klucz tajny JWT jest osadzony w backendzie egOS WebGUI i jest dostępny dla domyślnego użytkownika. Nieautoryzowany atakujący zdalny może generować ważne tokeny HS256 i omijać uwierzytelnianie oraz autoryzację z powodu użycia zakodowanego klucza kryptograficznego.

CVE-2025-53120
Critical

Podatność typu traversal w funkcjonalności przesyłania plików bez uwierzytelnienia pozwala złośliwemu użytkownikowi na przesyłanie binariów i skryptów do katalogów konfiguracyjnych oraz głównych katalogów serwera, co prowadzi do zdalnego wykonania kodu na serwerze Unified PAM.

CVE-2025-55575
Critical

W podatności CVE-2025-55575 występuje luka typu SQL Injection w SMM Panel w wersji 3.1, która umożliwia zdalnym atakującym uzyskanie wrażliwych informacji poprzez odpowiednio skonstruowane żądanie HTTP z parametrem action=service_detail.

CVE-2025-53118
Critical

Istnieje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu atakującemu na kontrolowanie funkcji kopii zapasowych administratora. Może to prowadzić do kompromitacji haseł, sekretów oraz tokenów sesji aplikacji przechowywanych przez Unified PAM.

CVE-2025-56214
Critical

System zarządzania szpitalem phpGurukul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr 'username' w pliku index.php.

CVE-2025-56212
Critical

System zarządzania szpitalem phpGuruKul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr docname w pliku add-doctor.php.

CVE-2025-5821
Critical

Wtyczka Case Theme User dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcję facebook_ajax_login_callback().

CVE-2025-7642
Critical

Wtyczka Simpler Checkout dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 0.7.0 do 1.1.9. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go jako administratora przez funkcję simplerwc_woocommerce_order_created().

CVE-2022-43110
Critical

Voltronic Power ViewPower w wersjach do 1.04-21353 oraz PowerShield Netguard przed 1.04-23292 pozwala zdalnemu atakującemu na konfigurację systemu poprzez nieokreślony interfejs webowy. Atakujący bez uwierzytelnienia może wprowadzać zmiany w systemie, w tym zmieniać hasło administratora interfejsu webowego oraz przeglądać i zmieniać konfigurację systemu.

CVE-2022-31491
Critical

Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.

CVE-2024-52786
Critical

W podatności CVE-2024-52786 w anji-plus AJ-Report do wersji 1.4.2 występuje luka umożliwiająca ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu za pomocą spreparowanego URL.

CVE-2024-50645
Critical

MallChat v1.0-SNAPSHOT posiada lukę w autoryzacji, która pozwala na ominięcie procesu uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-57105
CriticalEPSS 85%

The DI-7400G+ router has a command injection vulnerability in the sub_478D28 and sub_4A12DC functions of the jhttpd program, allowing attackers to execute arbitrary commands on the device via the ac_mng_srv_host parameter.

CVE-2025-55398
Critical

W mouse07410 asn1c w wersjach do 0.9.29 odkryto problem związany z dekoderami generowanymi przez asn1c, które nie egzekwują ograniczeń dla typu INTEGER, gdy wartość jest dodatnia i przekracza 32 bity. Może to prowadzić do przetwarzania niepoprawnych lub złośliwych danych wejściowych.

CVE-2024-50644
Critical

Wersja 3.0.1-SNAPSHOT bloga zhisheng17 zawiera podatność na obejście uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.

CVE-2025-29366
Critical

W wersji 2.6.0 mupen64plus występuje podatność na przepełnienie tablicy w funkcjach write_rdram_regs, co umożliwia wykonanie dowolnych poleceń na maszynie gospodarza.

CVE-2025-3128
Critical

Zdalny, nieautoryzowany atakujący, który zdołał obejść uwierzytelnienie, może wykonywać dowolne polecenia systemowe w urządzeniach Mitsubishi Electric smartRTU. To może prowadzić do ujawnienia, manipulacji, zniszczenia lub usunięcia informacji, a także do stanu odmowy usługi.

PreviousPage 226 of 565Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS