CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.14)

CVE-2025-6560
Critical

Wiele modeli routerów bezprzewodowych firmy Sapido ma podatność na ujawnienie wrażliwych informacji, co pozwala nieautoryzowanym atakującym zdalnie uzyskać dostęp do pliku konfiguracyjnego systemu i zdobyć hasła administratora w postaci niezaszyfrowanej.

CVE-2025-6559
Critical

Wiele modeli routerów bezprzewodowych od Sapido posiada podatność na wstrzykiwanie poleceń systemowych, co pozwala nieautoryzowanym zdalnym atakującym na wstrzykiwanie dowolnych poleceń OS i ich wykonanie na serwerze. Affected models są już poza wsparciem.

CVE-2025-52562
Critical

Convoy to panel zarządzania serwerem KVM dla firm hostingowych. W wersjach od 3.9.0-rc3 do przed 4.4.1 występuje podatność na traversję katalogów w komponencie LocaleController, która pozwala nieautoryzowanemu atakującemu na wykonanie dowolnych plików PHP na serwerze poprzez wysłanie specjalnie skonstruowanego żądania HTTP.

CVE-2023-47031
Critical

A vulnerability in NCR Terminal Handler v.1.5.1 allows a remote attacker to escalate privileges via a crafted POST request to the grantRolesToUsers, grantRolesToGroups, and grantRolesToOrganization SOAP API components.

CVE-2025-6513
Critical

Standardowi użytkownicy systemu Windows mają dostęp do pliku konfiguracyjnego aplikacji BRAIN2, który służy do uzyskiwania dostępu do bazy danych, i mogą go odszyfrować.

CVE-2025-6512
Critical

Na kliencie z użytkownikiem niebędącym administratorem, skrypt może zostać zintegrowany z raportem. Raporty te mogą być później wykonywane na serwerze BRAIN2 z uprawnieniami administratora.

CVE-2025-52921
Critical

W wersji Innoshop do 0.4.1, uwierzytelniony atakujący może wykorzystać funkcje Menedżera Plików w panelu administracyjnym do wykonania kodu na serwerze, przesyłając spreparowany plik i zmieniając jego nazwę na .php. Obejście początkowej weryfikacji, która sprawdza, czy przesyłane pliki są plikami graficznymi, jest możliwe dzięki użyciu narzędzi proxy.

CVE-2024-45347
Critical

W aplikacji Xiaomi Mi Connect Service występuje podatność na nieautoryzowany dostęp. Problem wynika z błędnej logiki walidacji, co umożliwia atakującym uzyskanie nieautoryzowanego dostępu do urządzenia ofiary.

CVE-2025-49132
Critical

Pterodactyl to darmowy, otwartoźródłowy panel zarządzania serwerami gier. Przed wersją 1.11.11, wykorzystując /locales/locale.json z parametrami zapytania locale i namespace, złośliwy aktor mógł wykonać dowolny kod bez uwierzytelnienia.

CVE-2025-44635
Critical

W routerach H3C ER2200G2, ERG2-450W, ERG2-1200W, ERG2-1350W, NR1200W oraz innych wymienionych serii przed określonymi wersjami oprogramowania występują liczne podatności na zdalne wykonanie nieautoryzowanych poleceń. Atakujący mogą obejść uwierzytelnianie, wprowadzając specjalnie skonstruowany tekst w URL lub nagłówku wiadomości, co pozwala na wstrzyknięcie złośliwych poleceń i uzyskanie najwyższych uprawnień ROOT na zdalnych urządzeniach.

CVE-2025-4738
Critical

W podatności CVE-2025-4738 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości ataku typu SQL Injection w oprogramowaniu Yirmibes MY ERP w wersjach przed 1.170.

CVE-2025-52467
Critical

Biblioteka pgai w Pythonie, służąca do przekształcania PostgreSQL w silnik wyszukiwania dla aplikacji RAG i Agentic, była podatna na atak umożliwiający wyciek wszystkich sekretów używanych w jednym przepływie pracy. W szczególności, GITHUB_TOKEN z uprawnieniami do zapisu w repozytorium, co pozwalało atakującemu na manipulację wszystkimi aspektami repozytorium.

CVE-2025-24288
Critical

Oprogramowanie Versa Director domyślnie udostępnia szereg usług, co stwarza łatwe możliwości ataku z powodu domyślnych danych logowania oraz wielu kont (większość z dostępem sudo), które wykorzystują te same domyślne dane. Usługi takie jak ssh i postgres są domyślnie wystawione na internet.

CVE-2024-45208
Critical

Platforma orkiestracji SD-WAN Versa Director, korzystająca z usługi aplikacyjnej Cisco NCS, ma podatność, która pozwala atakującemu na dostęp do usługi NCS na porcie 4566. Wersje dotknięte tą podatnością są związane z portami 4566 i 4570 na wszystkich interfejsach, co umożliwia nieautoryzowane działania administracyjne oraz zdalne wykonanie kodu.

CVE-2025-46157
CriticalEPSS 51%

An issue in EfroTech Time Trax v.1.0 allows a remote attacker to execute arbitrary code via the file attachment function in the leave request form.

CVE-2025-51381
Critical

W wersjach KCM3100 Ver1.4.2 i wcześniejszych występuje podatność na obejście uwierzytelniania. W przypadku wykorzystania tej podatności, atakujący może ominąć proces uwierzytelniania produktu z poziomu sieci LAN, do której produkt jest podłączony.

CVE-2025-49825
Critical

Teleport, który zapewnia łączność, uwierzytelnianie, kontrolę dostępu i audyt dla infrastruktury, ma w wersjach Community Edition przed i w tym samym czasie co 17.5.1 podatność na zdalne obejście uwierzytelniania. W momencie publikacji nie ma dostępnej poprawki open-source.

CVE-2025-49452
Critical

W podatności CVE-2025-49452 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w aplikacji PostaPanduri. Problem dotyczy wersji od n/a do 2.1.3.

CVE-2025-49447
Critical

Podatność CVE-2025-49447 w FW Food Menu od Fastw3b LLC pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia wykorzystanie złośliwych plików. Problem dotyczy wersji od n/a do 6.0.0.

CVE-2025-49444
Critical

Podatność CVE-2025-49444 dotyczy wtyczki Reformer dla Elementor, która pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach. Umożliwia to przesłanie powłoki sieciowej na serwer WWW, co stanowi poważne zagrożenie dla bezpieczeństwa.

PreviousPage 248 of 570Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS