CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.13)
Klucz tajny JWT jest osadzony w backendzie egOS WebGUI i jest dostępny dla domyślnego użytkownika. Nieautoryzowany atakujący zdalny może generować ważne tokeny HS256 i omijać uwierzytelnianie oraz autoryzację z powodu użycia zakodowanego klucza kryptograficznego.
Podatność typu traversal w funkcjonalności przesyłania plików bez uwierzytelnienia pozwala złośliwemu użytkownikowi na przesyłanie binariów i skryptów do katalogów konfiguracyjnych oraz głównych katalogów serwera, co prowadzi do zdalnego wykonania kodu na serwerze Unified PAM.
W podatności CVE-2025-55575 występuje luka typu SQL Injection w SMM Panel w wersji 3.1, która umożliwia zdalnym atakującym uzyskanie wrażliwych informacji poprzez odpowiednio skonstruowane żądanie HTTP z parametrem action=service_detail.
Istnieje podatność na obejście uwierzytelniania, która pozwala nieautoryzowanemu atakującemu na kontrolowanie funkcji kopii zapasowych administratora. Może to prowadzić do kompromitacji haseł, sekretów oraz tokenów sesji aplikacji przechowywanych przez Unified PAM.
System zarządzania szpitalem phpGurukul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr 'username' w pliku index.php.
System zarządzania szpitalem phpGuruKul w wersji 4.0 jest podatny na atak typu SQL Injection poprzez parametr docname w pliku add-doctor.php.
Wtyczka Case Theme User dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 1.0.3. Problem wynika z niewłaściwego logowania użytkownika z danymi wcześniej zweryfikowanymi przez funkcję facebook_ajax_login_callback().
Wtyczka Simpler Checkout dla WordPressa jest podatna na obejście uwierzytelniania w wersjach od 0.7.0 do 1.1.9. Problem wynika z niewłaściwej weryfikacji tożsamości użytkownika przed zalogowaniem go jako administratora przez funkcję simplerwc_woocommerce_order_created().
Voltronic Power ViewPower w wersjach do 1.04-21353 oraz PowerShield Netguard przed 1.04-23292 pozwala zdalnemu atakującemu na konfigurację systemu poprzez nieokreślony interfejs webowy. Atakujący bez uwierzytelnienia może wprowadzać zmiany w systemie, w tym zmieniać hasło administratora interfejsu webowego oraz przeglądać i zmieniać konfigurację systemu.
Voltronic Power ViewPower w wersjach do 1.04-24215, ViewPower Pro do 2.0-22165 oraz PowerShield Netguard przed 1.04-23292 umożliwia zdalnemu atakującemu uruchomienie dowolnego kodu poprzez nieokreślony interfejs webowy związany z wykrywaniem wyłączania zarządzanego UPS-a. Atakujący nieautoryzowany może wykorzystać tę podatność do natychmiastowego uruchomienia dowolnego kodu, niezależnie od stanu lub obecności zarządzanego UPS-a.
W podatności CVE-2024-52786 w anji-plus AJ-Report do wersji 1.4.2 występuje luka umożliwiająca ominięcie uwierzytelnienia, co pozwala nieautoryzowanym atakującym na wykonanie dowolnego kodu za pomocą spreparowanego URL.
MallChat v1.0-SNAPSHOT posiada lukę w autoryzacji, która pozwala na ominięcie procesu uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.
The DI-7400G+ router has a command injection vulnerability in the sub_478D28 and sub_4A12DC functions of the jhttpd program, allowing attackers to execute arbitrary commands on the device via the ac_mng_srv_host parameter.
W mouse07410 asn1c w wersjach do 0.9.29 odkryto problem związany z dekoderami generowanymi przez asn1c, które nie egzekwują ograniczeń dla typu INTEGER, gdy wartość jest dodatnia i przekracza 32 bity. Może to prowadzić do przetwarzania niepoprawnych lub złośliwych danych wejściowych.
Wersja 3.0.1-SNAPSHOT bloga zhisheng17 zawiera podatność na obejście uwierzytelniania. Atakujący może wykorzystać tę podatność do uzyskania dostępu do API bez konieczności posiadania tokena.
W wersji 2.6.0 mupen64plus występuje podatność na przepełnienie tablicy w funkcjach write_rdram_regs, co umożliwia wykonanie dowolnych poleceń na maszynie gospodarza.
Zdalny, nieautoryzowany atakujący, który zdołał obejść uwierzytelnienie, może wykonywać dowolne polecenia systemowe w urządzeniach Mitsubishi Electric smartRTU. To może prowadzić do ujawnienia, manipulacji, zniszczenia lub usunięcia informacji, a także do stanu odmowy usługi.
Platforma zarządzania IoT Aikaan w wersji v3.25.0325-5-g2e9c59796 umożliwia wyłączenie rejestracji użytkowników w rozproszonych wdrożeniach poprzez ukrycie opcji rejestracji na stronie logowania. Mimo to, punkt końcowy API do rejestracji pozostaje publicznie dostępny, co pozwala nieautoryzowanym użytkownikom na tworzenie kont nawet przy wyłączonej funkcji.
CVE-2025-57754 dotyczy wtyczki eslint-ban-moment, która w wersji 3.0.0 i wcześniejszych ujawnia wrażliwy URI Supabase w pliku .env. Ujawnienie tego URI umożliwia atakującemu pełny nieautoryzowany dostęp do bazy danych oraz danych użytkowników.
W systemie TitanHQ SpamTitan Email Security Gateway w wersjach 8.00.x przed 8.00.101 oraz 8.01.x przed 8.01.14 odkryto problem. Plik quarantine.php w interfejsie SpamTitan pozwala nieautoryzowanym użytkownikom na wywoływanie działań na poziomie konta za pomocą spreparowanego żądania GET, co prowadzi do automatycznego tworzenia rekordu użytkownika bez wymogu uwierzytelnienia.

