CVE Vulnerability Catalog

Translated CVE descriptions from NVD NIST - in English

CISA KEV catalog updated: (v2026.07.15)

CVE-2018-25420
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr 'id'. Atakujący mogą wysyłać żądania GET do watch.php z odpowiednio skonstruowanymi ładunkami SQL, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25419
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze genre. Atakujący mogą wysyłać żądania GET do genre.php z przygotowanymi ładunkami SQL w parametrze genre, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25418
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze year. Atakujący mogą wysyłać żądania GET do year.php z przygotowanymi ładunkami SQL w parametrze year, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25417
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze quality. Atakujący mogą wysyłać żądania GET do quality.php z przygotowanymi ładunkami SQL w parametrze quality, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25416
High

AiOPMSD Final w wersji 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze country. Atakujący mogą wysyłać żądania GET do country.php z przygotowanymi ładunkami SQL w parametrze country, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych oraz szczegóły wersji.

CVE-2018-25415
High

AiOPMSD Final w wersji 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze director. Atakujący mogą wysyłać żądania GET do pliku director.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze director, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych oraz szczegóły wersji.

CVE-2018-25414
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze actor. Atakujący mogą wysyłać żądania GET do actor.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze actor, aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych oraz szczegóły wersji.

CVE-2018-25413
High

AiOPMSD Final 1.0.0 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametr 'q'. Atakujący mogą wysyłać żądania GET do search.php z przygotowanymi ładunkami SQL w celu wydobycia wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych i szczegółów wersji.

CVE-2018-25411
High

MGB OpenSource Guestbook w wersji 0.7.0.2 zawiera podatność na wstrzykiwanie SQL, która pozwala nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do email.php z odpowiednio skonstruowanymi ładunkami SQL w parametrze 'id', aby wydobyć wrażliwe informacje z bazy danych, w tym nazwy tabel i kolumn.

CVE-2018-25410
High

SIM-PKH w wersji 2.4.1 zawiera podatność na wstrzykiwanie SQL, która pozwala uwierzytelnionym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu w parametrze 'id'. Atakujący mogą wysyłać żądania GET do /admin/media.php z parametrami module=pengurus i act=editpengurus, zawierającymi instrukcje SQL UNION w celu wydobycia informacji z bazy danych.

CVE-2018-25409
High

SIM-PKH w wersji 2.4.1 zawiera podatność na nieautoryzowane przesyłanie plików, która pozwala uwierzytelnionym atakującym na przesyłanie złośliwych plików poprzez kod PHP za pomocą parametru fupload. Atakujący mogą przesyłać pliki PHP przez punkt końcowy aksi_pengurus.php z parametrami module=pengurus i act=update, które są przechowywane w katalogu foto i wykonywane jako skrypty webowe.

CVE-2018-25408
High

Projekt Open ISES w wersji 3.30A zawiera podatność na przejście ścieżki w punkcie końcowym ajax/download.php, która pozwala nieautoryzowanym atakującym na pobieranie dowolnych plików poprzez manipulację parametrem nazwy pliku. Atakujący mogą dostarczyć sekwencje przejścia katalogu ../ w parametrze nazwy pliku, aby uzyskać dostęp do plików poza zamierzonym katalogiem.

CVE-2018-25407
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na wstrzykiwanie SQL, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid w różnych modułach, aby uzyskać informacje z bazy danych, w tym nazwy użytkowników, nazwy baz danych i szczegóły wersji.

CVE-2018-25406
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które pozwalają nieautoryzowanym atakującym na wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid w różnych modułach, aby wydobyć dane uwierzytelniające bazy danych, nazwy użytkowników oraz informacje o wersji.

CVE-2018-25405
High

Portal eNdonesia w wersji 8.7 zawiera wiele podatności na ataki typu SQL injection, które umożliwiają nieautoryzowanym atakującym wykonywanie dowolnych zapytań SQL poprzez wstrzykiwanie złośliwego kodu przez parametry w pliku mod.php. Atakujący mogą wstrzykiwać SQL przez parametry artid, cid, did, contid i aboutid, co pozwala na wydobycie wrażliwych informacji z bazy danych, w tym nazw użytkowników, nazw baz danych oraz szczegółów wersji.

CVE-2026-10120
High

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20, która dotyczy funkcji formSetFirewallRule w pliku /goform/formSetFirewallRule. Manipulacja argumentem firewall_name prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne wykonanie ataku.

CVE-2026-10119
High

Wykryto podatność w urządzeniu TRENDnet TEW-432BRP w wersji 3.10B20, która dotyczy funkcji formSetMACFilter w pliku /goform/formSetMACFilter. Manipulacja argumentem filter_name prowadzi do przepełnienia bufora na stosie, co umożliwia zdalne wykorzystanie tej podatności.

CVE-2026-46242
High

A use-after-free (UAF) vulnerability was found in the Linux kernel's eventpoll (epoll) mechanism. The bug occurs in ep_remove(), which after clearing the file->f_ep pointer in a critical section still uses the struct file, allowing a concurrent __fput() to free memory, leading to writes into freed memory (UAF) for both struct eventpoll and struct file.

CVE-2026-9757
High

Wtyczka GEO my WP dla WordPressa jest podatna na atak typu SQL Injection poprzez parametry 'swlatlng' i 'nelatlng' we wszystkich wersjach do i włącznie z 4.5.5. Parametry te są odczytywane z $_SERVER['QUERY_STRING'] i interpolowane bez odpowiedniej walidacji do zapytania SQL, co umożliwia atakującym dodawanie dodatkowych zapytań SQL.

CVE-2026-7465
High

Wtyczka Spectra Gutenberg Blocks – Website Builder for the Block Editor dla WordPress jest podatna na zdalne wykonanie kodu we wszystkich wersjach do i włącznie z 2.19.25. Umożliwia to uwierzytelnionym atakującym z dostępem na poziomie Contributor i wyżej wykonanie kodu na serwerze.

PreviousPage 268 of 3419Next

Vulnerability data from NVD (NIST) · CISA KEV · EPSS