CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2025-35996
Critical

Wersje KUNBUS PiCtory 2.11.1 i wcześniejsze są podatne na atak typu cross-site scripting (XSS) z powodu braku odpowiedniego oczyszczania nazw plików przesyłanych przez API. Złośliwie skonstruowana nazwa pliku może być wykonana jako tag skryptu HTML, co prowadzi do potencjalnego wykonania nieautoryzowanego kodu w przeglądarce użytkownika.

CVE-2025-32011
Critical

Wersje KUNBUS PiCtory od 2.5.0 do 2.11.1 mają podatność na obejście uwierzytelniania, która pozwala zdalnemu atakującemu na ominięcie procesu uwierzytelniania dzięki wykorzystaniu przejścia przez ścieżkę.

CVE-2025-24522
Critical

KUNBUS Revolution Pi OS Bookworm 01/2025 jest podatny, ponieważ domyślnie nie skonfigurowano uwierzytelniania dla serwera Node-RED. To umożliwia nieautoryzowanemu zdalnemu atakującemu pełny dostęp do serwera Node-RED, co pozwala na uruchamianie dowolnych poleceń w systemie operacyjnym.

CVE-2025-46337
Critical

ADOdb to biblioteka klas baz danych PHP, która umożliwia wykonywanie zapytań i zarządzanie bazami danych. Przed wersją 5.22.9, niewłaściwe zabezpieczenie parametru zapytania mogło pozwolić atakującemu na wykonanie dowolnych instrukcji SQL, gdy kod korzystający z ADOdb łączył się z bazą danych PostgreSQL i wywoływał pg_insert_id() z danymi dostarczonymi przez użytkownika.

CVE-2025-27007
Critical

Podatność związana z nieprawidłowym przypisaniem uprawnień w Brainstorm Force OttoKit suretriggers umożliwia eskalację uprawnień. Problem ten dotyczy wersji OttoKit od n/a do 1.0.82 włącznie.

CVE-2025-47154
Critical

LibJS w Ladybird przed wersją f5a6704 niewłaściwie zarządza zwalnianiem wektora, do którego odnosi się arguments_list, co prowadzi do błędu use-after-free. To umożliwia zdalnym atakującym wykonanie dowolnego kodu za pomocą spreparowanego pliku .js.

CVE-2025-25962
Critical

Problem w Coresmartcontracts Uniswap w wersji 3.0, naprawiony w wersji 4.0, umożliwia zdalnemu atakującemu eskalację uprawnień za pomocą funkcji _modifyPosition.

CVE-2025-25403
Critical

Slims (Senayan Library Management Systems) w wersji 9 Bulian V9.6.1 jest podatny na atak typu SQL Injection w pliku admin/modules/master_file/coll_type.php. Wykorzystanie tej podatności może pozwolić atakującemu na wykonanie nieautoryzowanych zapytań do bazy danych.

CVE-2025-4083
Critical

Podatność w Thunderbirdzie związana z izolacją procesów wynikała z niewłaściwego przetwarzania URI javascript:, co mogło pozwolić na wykonanie treści w procesie dokumentu głównego zamiast w zamierzonym ramce, co potencjalnie umożliwiało ucieczkę z piaskownicy.

CVE-2025-45953
Critical

A vulnerability in PHPGurukul Hostel Management System 2.1 in the /hostel/change-password.php file of the user panel (Change Password component) allows session hijacking. Improper session data handling enables remote session takeover.

CVE-2025-45949
Critical

A critical vulnerability in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel. Improper session data handling allows a Session Hijacking attack, leading to account takeover.

CVE-2025-45947
Critical

A vulnerability in the Online Banquet Booking System V1.2 allows a remote attacker to execute arbitrary code via the /obbs/change-password.php file in the change password component.

CVE-2025-3200
Critical

Podatność CVE-2025-3200 dotyczy nieautoryzowanego zdalnego atakującego, który może wykorzystać niebezpieczne protokoły TLS 1.0 i TLS 1.1 do przechwytywania i manipulowania zaszyfrowanymi komunikacjami między Com-Server a podłączonymi systemami.

CVE-2025-32980
Critical

NETSCOUT nGeniusONE w wersjach przed 6.4.0 P11 b3245 ma słabą konfigurację Sudo, co może prowadzić do nieautoryzowanego dostępu do systemu.

CVE-2024-56156
Critical

Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.

CVE-2025-32432
Critical

Craft to elastyczny, przyjazny dla użytkownika system zarządzania treścią (CMS), który umożliwia tworzenie niestandardowych doświadczeń cyfrowych. Wersje od 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17 są podatne na zdalne wykonanie kodu.

CVE-2025-2470
Critical

Wtyczka Service Finder Bookings dla WordPressa, używana w motywie Service Finder - Directory and Job Board, jest podatna na eskalację uprawnień we wszystkich wersjach do 5.1 włącznie. Problem wynika z braku ograniczeń dotyczących ról użytkowników w funkcji 'nsl_registration_store_extra_input'.

CVE-2025-46616
Critical

API interfejsu graficznego Quantum StorNext przed wersją 7.2.4 umożliwia potencjalne zdalne wykonanie dowolnego kodu (RCE) poprzez przesłanie pliku. Dotyczy to również StorNext RYO, StorNext Xcellis Workflow Director oraz ActiveScale Cold Storage przed wersją 7.2.4.

CVE-2025-46275
Critical

WGS-80HPT-V2 oraz WGS-4215-8T2S mają lukę w zabezpieczeniach, która pozwala atakującemu na utworzenie konta administratora bez znajomości jakichkolwiek istniejących poświadczeń. Brak autoryzacji stwarza poważne zagrożenie dla systemu.

CVE-2025-46274
Critical

UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, co może pozwolić nieautoryzowanemu atakującemu na odczyt, manipulację oraz tworzenie wpisów w zarządzanej bazie danych.

PreviousPage 251 of 562Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS