CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.15)
A critical vulnerability in PHPGurukul User Registration & Login and User Management System V3.3 in the /loginsystem/change-password.php file of the user panel. Improper session data handling allows a Session Hijacking attack, leading to account takeover.
A vulnerability in the Online Banquet Booking System V1.2 allows a remote attacker to execute arbitrary code via the /obbs/change-password.php file in the change password component.
Podatność CVE-2025-3200 dotyczy nieautoryzowanego zdalnego atakującego, który może wykorzystać niebezpieczne protokoły TLS 1.0 i TLS 1.1 do przechwytywania i manipulowania zaszyfrowanymi komunikacjami między Com-Server a podłączonymi systemami.
NETSCOUT nGeniusONE w wersjach przed 6.4.0 P11 b3245 ma słabą konfigurację Sudo, co może prowadzić do nieautoryzowanego dostępu do systemu.
Halo to narzędzie do budowy stron internetowych typu open source. Przed wersją 2.20.13 istniała podatność, która pozwalała atakującym na obejście kontroli walidacji typów plików, co umożliwiało przesyłanie złośliwych plików, w tym plików wykonywalnych i HTML.
Craft to elastyczny, przyjazny dla użytkownika system zarządzania treścią (CMS), który umożliwia tworzenie niestandardowych doświadczeń cyfrowych. Wersje od 3.0.0-RC1 do przed 3.9.15, 4.0.0-RC1 do przed 4.14.15 oraz 5.0.0-RC1 do przed 5.6.17 są podatne na zdalne wykonanie kodu.
Wtyczka Service Finder Bookings dla WordPressa, używana w motywie Service Finder - Directory and Job Board, jest podatna na eskalację uprawnień we wszystkich wersjach do 5.1 włącznie. Problem wynika z braku ograniczeń dotyczących ról użytkowników w funkcji 'nsl_registration_store_extra_input'.
API interfejsu graficznego Quantum StorNext przed wersją 7.2.4 umożliwia potencjalne zdalne wykonanie dowolnego kodu (RCE) poprzez przesłanie pliku. Dotyczy to również StorNext RYO, StorNext Xcellis Workflow Director oraz ActiveScale Cold Storage przed wersją 7.2.4.
WGS-80HPT-V2 oraz WGS-4215-8T2S mają lukę w zabezpieczeniach, która pozwala atakującemu na utworzenie konta administratora bez znajomości jakichkolwiek istniejących poświadczeń. Brak autoryzacji stwarza poważne zagrożenie dla systemu.
UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, co może pozwolić nieautoryzowanemu atakującemu na odczyt, manipulację oraz tworzenie wpisów w zarządzanej bazie danych.
UNI-NMS-Lite wykorzystuje twardo zakodowane dane uwierzytelniające, które mogą umożliwić nieautoryzowanemu atakującemu uzyskanie uprawnień administracyjnych do wszystkich urządzeń zarządzanych przez UNI-NMS.
Urządzenia WGS-80HPT-V2 i WGS-4215-8T2S są podatne na atak typu injection komend, który może umożliwić nieautoryzowanemu atakującemu wykonanie poleceń systemu operacyjnego na systemie gospodarza.
UNI-NMS-Lite jest podatny na atak typu injection poleceń, który może umożliwić nieautoryzowanemu atakującemu odczyt lub manipulację danymi urządzenia.
h11 to implementacja HTTP/1.1 w Pythonie. Przed wersją 0.16.0, luźne podejście h11 do analizy terminatorów linii w ciałach wiadomości kodowanych w chunked może prowadzić do podatności na smuggling żądań w określonych warunkach. Problem został naprawiony w wersji 0.16.0.
YoutubeDLSharp to wrapper dla narzędzi do pobierania wideo z linii poleceń, takich jak youtube-dl i yt-dlp. W wersjach od 1.0.0-beta4 do 1.1.2 występuje niebezpieczna konwersja argumentów, która umożliwia wstrzyknięcie złośliwych poleceń podczas uruchamiania `yt-dlp` w systemie Windows z włączonym domyślnym ustawieniem `UseWindowsEncodingWorkaround` na true.
Podatność CVE-2025-46264 wtyczki PowerPress Podcasting umożliwia nieograniczone przesyłanie plików o niebezpiecznym typie, co pozwala na przesłanie powłoki sieciowej na serwer WWW. Problem dotyczy wersji PowerPress Podcasting od n/a do 11.12.5 włącznie.
Podatność CVE-2025-46248 dotyczy niewłaściwego neutralizowania specjalnych elementów używanych w poleceniach SQL, co prowadzi do możliwości wykonania ataku typu SQL Injection w aplikacji Frontend Dashboard w wersjach od n/a do 2.2.5.
Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak adres e-mail.
Wtyczka Flynax Bridge dla WordPressa jest podatna na eskalację uprawnień poprzez przejęcie konta we wszystkich wersjach do i włącznie z 2.2.0. Problem wynika z niewłaściwej walidacji tożsamości użytkownika przed aktualizacją jego danych, takich jak hasło.
Wtyczka Database Toolset jest podatna na nieautoryzowane usuwanie plików z powodu niewystarczającej walidacji ścieżek plików w funkcji we wszystkich wersjach do i włącznie z 1.8.4. Umożliwia to nieautoryzowanym atakującym usuwanie dowolnych plików na serwerze.

