CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.14)
W punktach dostępu HPE Networking Instant On znaleziono twardo zakodowane dane logowania, co pozwala na ominięcie normalnej autoryzacji urządzenia. Umożliwia to zdalnemu atakującemu uzyskanie dostępu administracyjnego do systemu.
SAP NetWeaver Enterprise Portal Federated Portal Network jest podatny na atak, gdy uprzywilejowany użytkownik może przesłać nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do naruszenia poufności, integralności i dostępności systemu gospodarza.
SAP S/4HANA i SAP SCM mają podatność na zdalne wykonanie kodu w funkcji propagacji cech. Atakujący z uprawnieniami użytkownika może stworzyć nowy raport z własnym kodem, co może prowadzić do pełnej kontroli nad systemem SAP.
Usługa archiwizacji danych XML w SAP NetWeaver pozwala uwierzytelnionemu atakującemu z uprawnieniami administracyjnymi wykorzystać podatność na niebezpieczną deserializację Java, wysyłając specjalnie przygotowany zserializowany obiekt Java. Może to prowadzić do poważnego wpływu na poufność, integralność i dostępność aplikacji.
SAP NetWeaver Enterprise Portal Administration jest podatny na atak, gdy użytkownik z uprawnieniami może przesłać nieufne lub złośliwe treści, które po deserializacji mogą prowadzić do naruszenia poufności, integralności i dostępności systemu gospodarza.
Krytyczna podatność w serwerze aplikacyjnym SAP NetWeaver dla Java Log Viewer umożliwia uwierzytelnionym użytkownikom-administratorom wykorzystanie niebezpiecznej deserializacji obiektów Java. Udane wykorzystanie tej podatności może prowadzić do pełnego przejęcia systemu operacyjnego, dając atakującym pełną kontrolę nad dotkniętym systemem.
W podatności CVE-2025-53499 w rozszerzeniu AbuseFilter dla Mediawiki występuje brak autoryzacji, co pozwala na nieautoryzowany dostęp. Problem dotyczy wersji Mediawiki - AbuseFilter Extension od 1.43.X przed 1.43.2.
W podatności CVE-2025-53495 w rozszerzeniu AbuseFilter dla Mediawiki występuje brak autoryzacji, co pozwala na nieautoryzowany dostęp. Problem dotyczy wersji Mediawiki - AbuseFilter Extension od 1.43.X do przed 1.43.2.
W systemie zarządzania rekordami pracowników w PHP i MySQL w wersji 1 odkryto podatność na wstrzykiwanie SQL poprzez punkt końcowy loginerms.php.
Podatność CVE-2025-43933 w fblog do wersji 983bede umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.
JobCenter do wersji 7e7b0b2 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.
Podatność w flask-boilerplate umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany. W związku z tym resetowanie hasła zależy od nagłówka Host w żądaniu HTTP.
Hashview w wersji 0.8.1 umożliwia przejęcie konta poprzez funkcję resetowania hasła, ponieważ SERVER_NAME nie jest skonfigurowany, co sprawia, że reset zależy od nagłówka Host HTTP.
Zdalny atakujący posiadający konto administratora może uzyskać pełną kontrolę nad urządzeniem z powodu niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach systemowych ('OS Command Injection') podczas przesyłania pliku konfiguracyjnego przez interfejs webowy.
Zdalny, nieautoryzowany atakujący może wykorzystać domyślne certyfikaty do generowania tokenów JWT, co pozwala na uzyskanie pełnego dostępu do narzędzia oraz wszystkich podłączonych urządzeń.
W wersjach 2.3 i 2.4 Nimesa Backup and Recovery występuje problem z wstrzykiwaniem poleceń systemowych. W przypadku wykorzystania tej podatności, na serwerze, na którym działa produkt, mogą być wykonywane dowolne polecenia systemowe.
Agent w Quest KACE Systems Management Appliance (SMA) przed wersją 14.0.97 oraz 14.1.x przed wersją 14.1.19 potencjalnie umożliwia eskalację uprawnień na zarządzanych systemach.
Wprowadzone przez użytkowników dane nie są odpowiednio zabezpieczone w plikach VotePage.php oraz w metodach getPagesTab() i getErrorsTab() w ResultPage. To umożliwia atakującym wstrzykiwanie JavaScriptu i kompromitację sesji użytkowników w określonych warunkach.
W podatności CVE-2025-52833 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie designthemes LMS. Problem ten dotyczy wersji LMS od n/a do 9.2 włącznie.
Podatność CVE-2025-52832 dotyczy niewłaściwej neutralizacji specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w wtyczce wpo-HR NGG Smart Image Search. Problem ten dotyczy wersji od n/a do 3.4.1 włącznie.

