CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
TRENDnet TV-IP410 camera firmware vA1.0R contains an OS command injection vulnerability in the /server/cgi-bin/testserv.cgi component.
TSA opracowane przez Changing ma lukę w autoryzacji, która pozwala nieautoryzowanym atakującym zdalnym na odczyt, modyfikację i usuwanie zawartości bazy danych.
System obrazów klinicznych opracowany przez Changing zawiera twardo zakodowane dane uwierzytelniające, co pozwala nieautoryzowanym atakującym zdalnie zalogować się do systemu, używając danych administratora osadzonych w kodzie źródłowym.
Valtimo to platforma do automatyzacji procesów biznesowych. W wersjach przed 12.16.0.RELEASE oraz od 13.0.0.RELEASE do przed 13.1.2.RELEASE, administratorzy mogą uzyskać dostęp do wrażliwych danych lub zasobów, co może prowadzić do uruchamiania programów na hoście aplikacji oraz przeglądania i wydobywania danych z środowiska hosta.
Paymenter to darmowe i otwarte rozwiązanie sklepu internetowego dla hostingów. W wersjach przed 1.2.11 funkcjonalność załączników biletów pozwalała złośliwemu uwierzytelnionemu użytkownikowi na przesyłanie dowolnych plików, co mogło prowadzić do wycieku wrażliwych danych z bazy danych oraz uruchamiania dowolnych poleceń systemowych w kontekście użytkownika serwera WWW.
FreePBX, an open-source graphical user interface, has vulnerabilities in versions 15, 16, and 17 due to insufficiently sanitized user-supplied data. This allows unauthenticated access to the FreePBX Administrator, leading to arbitrary database manipulation and remote code execution.
W podatności CVE-2025-54738 występuje możliwość ominięcia uwierzytelnienia w motywie NooTheme Jobmonster, co pozwala na nadużycie uwierzytelnienia. Problem ten dotyczy wersji Jobmonster od n/a do 4.7.9 włącznie.
Podatność CVE-2025-54725 dotyczy systemu Golo, w którym możliwe jest obejście uwierzytelniania za pomocą alternatywnej ścieżki lub kanału. Problem ten występuje w wersjach Golo od n/a do 1.7.0 włącznie.
W podatności CVE-2025-54720 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w dodatkach SteelThemes Nest Addons. Problem dotyczy wersji dodatków od n/a do 1.6.3 włącznie.
Podatność CVE-2025-52761 dotyczy deserializacji niezaufanych danych w wtyczce WP Funnel Manager, co umożliwia wstrzyknięcie obiektów. Problem ten dotyczy wersji wtyczki od n/a do 1.4.0.
Podatność związana z nieprawidłowym przypisaniem uprawnień w wtyczce Miraculous Core Plugin pozwala na eskalację uprawnień. Problem dotyczy wersji wtyczki od n/a do 2.0.7 włącznie.
Podatność CVE-2025-49387 dotyczy wtyczki Drag and Drop File Upload for Elementor Forms, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW.
Podatność CVE-2025-48100 dotyczy niewłaściwej kontroli generowania kodu w integratorze bidorbuy Store, co pozwala na zdalne włączenie kodu. Problem ten występuje w wersjach od n/a do 2.12.0 włącznie.
Podatność CVE-2025-39496 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce WooBeWoo Product Filter Pro. Problem ten dotyczy wersji przed 2.9.6.
SS1 w wersji 16.0.0.10 i wcześniejszych (wersja Media: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.
SS1 w wersji 16.0.0.10 i wcześniejszych (wersja multimedialna: 16.0.0a i wcześniejsze) umożliwia zdalnemu, nieautoryzowanemu atakującemu przesyłanie dowolnych plików oraz wykonywanie poleceń systemowych z uprawnieniami SYSTEM.
Wtyczka RingCentral Communications dla WordPressa jest podatna na obejście uwierzytelniania z powodu niewłaściwej walidacji w funkcji ringcentral_admin_login_2fa_verify() w wersjach od 1.5 do 1.6.8. Umożliwia to nieautoryzowanym atakującym logowanie się jako dowolny użytkownik, wystarczy podać identyczne fałszywe kody.
A heap-based buffer overflow vulnerability exists in the network-facing input handling routines of Arcserve Unified Data Protection (UDP) that can be exploited by a remote attacker without authentication. By sending specially crafted data, an attacker can corrupt heap memory, potentially leading to denial of service or arbitrary code execution.
Dongsheng Logistics Software exposes an unauthenticated endpoint at /CommMng/Print/UploadMailFile that fails to enforce proper file type validation and access control. An attacker can upload arbitrary files, including executable scripts, allowing remote code execution on the server.
An unauthenticated SQL injection vulnerability exists in the GetLyfsByParams endpoint of Bian Que Feijiu Intelligent Emergency and Quality Control System. The issue arises from improper sanitization of user-supplied input in the strOpid parameter, allowing attackers to inject arbitrary SQL statements.

