CVE Vulnerability Catalog
Translated CVE descriptions from NVD NIST - in English
CISA KEV catalog updated: (v2026.07.16)
Wykryto bardzo krytyczną podatność w kamerach samochodowych IROAD Dash Cam X5 i Dash Cam X6 do wersji 20250308. Problem dotyczy nieznanej części i prowadzi do niewłaściwej autoryzacji, co umożliwia zdalne przeprowadzenie ataku.
W podatności CVE-2025-26875 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości wstrzyknięcia SQL w wtyczce Multiple Shipping And Billing Address For Woocommerce w wersjach od n/a do 1.3. Problem ten dotyczy wtyczki, która obsługuje różne adresy wysyłki i fakturowania.
Urządzenie wykorzystuje słaby algorytm haszowania do tworzenia haszy haseł. W związku z tym, atakujący może łatwo obliczyć pasujące hasło, co wpływa na bezpieczeństwo i integralność urządzenia.
Produkt może być wykorzystywany do dystrybucji złośliwego kodu za pomocą sterowników urządzeń SDD z powodu braku weryfikacji pobierania, co prowadzi do wykonania kodu na docelowych systemach.
Wtyczka Civi - Job Board & Freelance Marketplace dla WordPressa jest podatna na obejście uwierzytelniania we wszystkich wersjach do i włącznie z 2.1.4. Problem wynika z braku walidacji użytkownika przed zmianą hasła, co umożliwia nieautoryzowanym atakującym zmianę hasła dowolnych użytkowników, w tym administratorów, jeśli znają nazwę użytkownika ofiary.
graphql-ruby to implementacja GraphQL w języku Ruby. W wersjach od 1.11.5 do 1.11.8, 1.12.25, 1.13.24, 2.0.32, 2.1.14, 2.2.17 i 2.3.21, załadowanie złośliwej definicji schematu w `GraphQL::Schema.from_introspection` (lub `GraphQL::Schema::Loader.load`) może prowadzić do zdalnego wykonania kodu.
W podatności CVE-2025-1960 występuje problem z inicjalizacją zasobu z niebezpiecznymi domyślnymi ustawieniami. Atakujący może wykonać nieautoryzowane polecenia, jeśli domyślne dane logowania systemu nie zostały zmienione po pierwszym użyciu.
W Koha przed wersją 24.11.02 występuje podatność na SQL Injection w funkcji GetLateOrMissingIssues w pliku C4/Serials.pm. Atakujący może wykorzystać parametry supplierid lub serialid w skrypcie /serials/lateissues-export.pl.
Podatność CVE-2025-28915 dotyczy motywu ThemeEgg ToolKit, który pozwala na nieograniczone przesyłanie plików o niebezpiecznych typach, co umożliwia przesłanie powłoki sieciowej na serwer WWW. Problem ten dotyczy wersji od n/a do 1.2.9 włącznie.
Wykryto problem w Percona PMM Server (OVA) przed wersją 3.0.0-1.ova, który dotyczy domyślnych poświadczeń konta serwisowego. Może to prowadzić do dostępu SSH, użycia Sudo do uzyskania uprawnień roota oraz ujawnienia wrażliwych danych.
Problem z zapisem poza przydzielonym obszarem pamięci został rozwiązany poprzez poprawione kontrole, które zapobiegają nieautoryzowanym działaniom. Problem ten został naprawiony w kilku wersjach Safari, iOS oraz macOS.
Zidentyfikowano podatność w urządzeniach SINAMICS S200 (wszystkie wersje z numerem seryjnym zaczynającym się od SZVS8, SZVS9, SZVS0 lub SZVSN oraz numerem FS 02). Affected device posiada odblokowany bootloader, co umożliwia atakującym wstrzykiwanie złośliwego kodu lub instalację nieufnego oprogramowania.
Podatność CVE-2025-26936 dotyczy niewłaściwej kontroli generowania kodu w frameworku FRESHFACE Fresh Framework, co umożliwia wstrzykiwanie kodu. Problem ten dotyczy wersji Fresh Framework od n/a do 1.70.0 włącznie.
W podatności CVE-2025-26916 występuje niewłaściwe zarządzanie nazwą pliku w instrukcji Include/Require w programie PHP, co prowadzi do możliwości zdalnego dołączenia pliku. Problem ten dotyczy wersji Massive Dynamic od n/a do 8.2 włącznie.
XWiki Confluence Migrator Pro umożliwia administratorom importowanie pakietów Confluence do ich instancji XWiki. Użytkownik, który nie ma uprawnień programistycznych, może wykonać dowolny kod z powodu nieodpowiedniego przetłumaczenia podczas tworzenia strony za pomocą szablonu Migracji Strony.
Wykryto podatność w Arctera InfoScale w wersjach od 7.0 do 8.0.2, która pozwala na wykorzystanie punktu końcowego .NET remoting z powodu niebezpiecznej deserializacji potencjalnie nieufnych wiadomości. Podatność występuje w usłudze Windows Plugin_Host, działającej na wszystkich serwerach z zainstalowanym InfoScale.
Wtyczka WPCOM Member dla WordPressa jest podatna na obejście uwierzytelnienia we wszystkich wersjach do i włącznie z 1.7.5. Problem wynika z niewystarczającej weryfikacji parametru 'user_phone' podczas logowania.
W podatności CVE-2024-12144 występuje niewłaściwa neutralizacja specjalnych elementów używanych w poleceniu SQL, co prowadzi do możliwości ataku typu SQL Injection w systemie Finder Fire Safety Finder ERP/CRM (stara wersja). Problem dotyczy wersji przed 18.12.2024.
W wersji 0.7.2 Spacy-LLM występuje podatność typu Server-Side Template Injection (SSTI), która pozwala atakującym na wykonanie dowolnego kodu poprzez wstrzyknięcie spreparowanego ładunku do pola szablonu.
Serwer Lucee, oparty na Javie, ma podatność na zdalne wykonanie kodu (RCE) poprzez atak XML XXE w punkcie końcowym REST. Problem ten został naprawiony w wersjach Lucee 5.4.3.2, 5.3.12.1, 5.3.7.59, 5.3.8.236 oraz 5.3.9.173.

